Является ли уникальный IP-адрес обязательным для SSL?

23

Компания, предоставляющая общий хостинг, сказала мне, что если я куплю IP-адрес, он будет применим и к доменам аддонов. Что это означает? Тогда сертификат SSL не будет работать, так как в одном IP будет более 2 доменов (если я добавлю дополнительный домен)? Если сертификат SSL работает с одним IP-адресом, на котором размещены два разных домена, то почему он не работает на общем хосте?

Илхан
источник
Нет, это не обязательно. Есть много хостинг-провайдеров, которые разрешают SSL-сертификаты на общие IP-адреса.
Уильям Эдвардс
1
Почти так же, как мой вопрос, требует ли SSL-сертификат выделенного IP-адреса?
Травен

Ответы:

13

ПРИМЕЧАНИЕ. Хотя этот ответ был точным на момент написания и принятия, он больше не является правильным. Здесь есть и другие ответы, которые относятся к SNI, что позволяет использовать несколько SSL-сертификатов для каждого IP-адреса.


Да, вам нужен выделенный IP-адрес для вашего сертификата SSL. Следующая статья объясняет, почему именно:

SSL-сертификаты на сайтах с заголовками узлов

Ключевой параграф:

Это проблема курицы и яйца: имя хоста зашифровано в блобе SSL, который отправляет клиент. Поскольку имя хоста является частью привязки, IIS необходимо имя хоста для поиска правильного сертификата. Без имени хоста IIS не может найти нужный сайт, поскольку привязка не завершена. Без сертификата IIS не может расшифровать блоб SSL, содержащий имя хоста. Игра окончена - мы поворачиваемся кругами.

Существует способ использовать SSL-сертификаты с заголовками узлов на общем IP-адресе, но вам все равно нужно получить этот первый IP-адрес:

Но есть способ, если вам нужны два разных сайта на одном IP: Порт. Вы можете сделать это, получив сертификат, который содержит как общие имена, то есть sitev1.mysite.com и sitev2.mysitem.com. Органы сертификации обычно допускают использование в сертификате нескольких так называемых «общих имен». Привязав сертификат к одному из двух сайтов, вы больше не будете получать ошибки сертификата. Клиент счастлив, если одно из имен в сертификате совпадает.

Когда ваш хостер скажет «тогда это будет применимо и к доменам аддонов». , что они имеют в виду, вы можете использовать:

  • подстановочный SSL, например * .example.com, тогда более одного сайта, являющегося хостом в example.com, может совместно использовать IP-адрес, например, www.example.com, webmail.example.com и т. д.

  • SSL субъекта с альтернативными именами, который позволяет защищать несколько доменов с использованием одного и того же SSL, например: http://www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/

Кев
источник
4
@ ilhan этот ответ уже не точен. Здесь есть и другие ответы, которые относятся к SNI, что позволяет использовать несколько SSL-сертификатов для каждого IP.
Mxx
Пожалуйста, обновите этот ответ, чтобы отразить текущую ситуацию.
Lèse Majesté
20

RFC 4366 (индикация имени сервера) разрешает виртуальный хостинг для SSL и является довольно старым и хорошо поддерживается в настоящее время

Смотрите http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI для довольно подробного объяснения.

Джеймс МакКормак
источник
У вас есть какие-либо данные о текущей поддержке SNI?
Дибстер
3
Эта вики-статья содержит больше информации о совместимости для поддержки индикации имени сервера: en.wikipedia.org/wiki/Server_Name_Indication
Джеймс МакКормак,
2

Существует несколько видов серверных SSL-сертификатов, в том числе те, которые работают на одном сервере, те, которые можно использовать для всего домена серверов (так называемые «подстановочные» сертификаты), и те, которые работают в нескольких доменах.

Будьте очень осторожны, какой сертификат вы покупаете, так как это ограничит масштабирование.

К вашему сведению: Центры сертификации (компании, выпускающие сертификаты) не любят выпускать сертификаты для всего домена или для нескольких доменов, поскольку они считают их потерей дохода. (Зачем выдавать 1 сертификат для всего домена по цене $ x, если вы можете выдать 5 сертификатов за 5 $?), Но если вы нажмете на них, вы обычно можете заставить их выдать вам сертификат для всего домена.


источник
2

При размещении нескольких сайтов с поддержкой SSL на одном сервере обычно требуется один IP-адрес на сайт, но сертификат SAN SSL может решить эту проблему. MS IIS 6 и Apache могут использовать HTTPS-сайты виртуальных хостов, используя UC-сертификат, также известный как SAN-сертификаты.

Использование сертификата SAN избавляет вас от хлопот и времени, затрачиваемого на настройку нескольких IP-адресов на сервере Exchange 2007, привязку каждого IP-адреса к отдельному сертификату и выполнение множества команд Power Shell низкого уровня, чтобы собрать их воедино.

Легкость и простота в обслуживании, чем размещение нескольких IP-адресов на вашем сервере и назначение каждого сертификата каждому.

jd4487
источник
1

Это означает, что весь размещенный вами домен назначит ваш IP. Но вы можете ограничить хост для установки IP только для определенного домена. Сертификат SSL защищен, применен к домену, но домен должен быть на выделенном IP. Некоторые SSL-сертификаты также могут защищать несколько доменов, например geotrust multidomain ev. На виртуальном хостинге есть несколько доменов на одном хостинге, поэтому ваш IP также хостит домен другого клиента. Так что это не безопасно, поэтому не будет работать.

Kedin
источник
Нет необходимости цитировать вопрос в ответе.
ChrisF