版上各位大大好，小弟一名菜鸡真。打工仔
目前打工的单位有*.bb.cc.com的凭证
其他单位有各自架设a.bb.cc.com、b.bb.cc.com的网站
近期遇到上头指示说要全面转成HTTPS
最简单的情况下是其他单位过来拿一份*.bb.cc.com的凭证就好
但是小弟我不确定wildcard凭证给其他人会不会有什么问题
还是我应该要求其他单位的人自己处里凭证?

让持有者或管这些得自己来用

单纯给凭证没给私钥是没啥差....不过你要确认那些服务吃不吃wildcard凭证

嗯...要在各网站server软件内启用https就要private key吧？

大家都用同张凭证又要私钥的话..一个笨蛋把私钥外流大家就是一起换凭证

出口放个ssl off load专人管理

2F不要不懂装懂，最好可以只给凭证就能启动HTTPS/TLS啦申请wildcard凭证不就是为了共用吗如果外流对方还要能动你的DNS，真的怕就让他们签个切结

所以你有看到我有说那样可以启动HTTPS/TLS吗= =?

你 dns 是没在管的吗?

当然有啊 只是不知道除了dns以外还有哪些地方会有问题

如果是bb.cc.com的万用凭证 其实也不需要太担心 除非你连dns的帐号密码都给人

用waf一并管理就好(?

请问2F，那你给凭证不给私钥是要做什么？拿去拜吗？

在对外接口架reverse proxy把e-cert放那就好.凭证外流的影响要看凭证类别. 如果只是确认服务器身份的话一般就可能用户被MITM攻击让传送的东西可能被第三方看到. 如果有支援code signing就比较大问题, 因为拿到凭证的人可以在任意软件用凭证签署声称是由你的公司发布的.

楼上好久不见~