使用通配符证书进行多服务器部署

当前，我们正在为我们的服务部署beta API，并且希望API的所有请求/响应都可以通过https进行。我对使用通配符证书api和wwwURL 感到困惑。对api.example.com和都使用通配符证书是个好主意www.example.com吗？有什么不便之处吗？

那那些仅用于一台服务器的证书呢？因为我要在n台服务器上部署我的API，而前端要有一个负载均衡器。

您是正确的，在这种情况下，使用通配符证书是个好主意。它将使您对单独域的配置保持简单，并确保您决定添加的任何子域都可以使用。

有两个缺点：
-您的顶级域不安全。如上所示，该证书不适用于example.com。
-它们非常昂贵，通常约为$ 1k。

对于仅用于一台服务器的证书，这取决于您购买证书时所达成的协议。有些会允许将证书安装在多台服务器上，有些则不会。另外，我也不知道他们如何或是否只将证书安装在单个服务器上。您也许可以摆脱它...

另外，如果您使用的是负载均衡器，则建议您在硬件允许的情况下在此处安装证书。我知道Cisco CSS系列具有专用的硬件模块，可以处理所有加密和解密，从而节省了服务器的工作量。

到目前为止，我所见过的通配符证书唯一的问题是它们似乎没有支持EV的证书。仅当您想要炫酷的浏览器镶边说“嘿，此站点正常且经过验证”时，这才是真正的问题。如果您只是在寻找安全的运输方式，而不在乎客户的购买信心，那就选择便宜的方式。或为www服务器购买EV，为API购买通配符。