我们正在与我们的运营部门讨论通配符 SSL 证书。我们的目的是禁止所有通配符证书(如 *.domain.com)用于 Internet 公开的 Web 应用程序,因为它们至少在生产环境中存在潜在的安全风险。
不考虑与购买证书相关的成本(每个 Web 应用程序一个),他们声称该解决方案不可行,因为所有 SSL 证书都在负载均衡器上进行管理。
我没有管理负载均衡器的经验;我想它就像一个具有多个虚拟主机的 Apache 配置,每个虚拟主机都有其证书(即https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm)。Akamai 最近的一条消息称,SNI 已被广泛采用 ( https://blogs.akamai.com/2017/03/reaching-toward-universal-tls-sni.html )。
在负载均衡器上管理许多证书的真正困难是什么?
是否有一些来自权威来源的最佳实践?
