SharkTrust: Automaattinen SSL-varmenteiden hallinta sulautetuille Web-palvelimille

Jaettu hosting-yritys kertoi minulle, että jos ostan IP-osoitteen, sitä sovelletaan myös addon-verkkotunnuksiin. Mitä se tarkoittaa? Tällöin SSL-varmenne ei toimi, koska yhdessä IP-osoitteessa on enemmän kuin 2 verkkotunnusta (jos lisätään addon-toimialue)? Jos SSL-varmenne toimii yhden IP-osoitteen kanssa, jossa isännöi kahta eri toimialuetta, niin miksi se ei toimi jaetussa isännässä?

  • Ei, sitä ei vaadita. On monia palveluntarjoajia, jotka sallivat SSL-varmenteet jaetuissa IP-osoitteissa.
  • 1 Lähes sama kuin kysymykseni, edellyttääkö SSL-varmenne todella omistettua IP-osoitetta?

HUOMAUTUS: Vaikka tämä vastaus oli tarkka kirjoittamisen ja hyväksymisen aikana, se ei ole enää oikea. Tässä on muita vastauksia, jotka osoittavat SNI: tä, joka sallii useita SSL-varmenteita IP-osoitetta kohti.


Kyllä, tarvitset erillisen IP-osoitteen SSL-varmenteellesi. Seuraava artikkeli selittää tarkalleen miksi:

SSL-varmenteet sivustoissa, joissa on isäntäotsikot

Tärkein kappale on:

Se on kana- ja muna-ongelma: Isäntänimi on salattu asiakkaan lähettämässä SSL-blobissa. Koska isäntänimi on osa sitovaa, IIS tarvitsee isäntänimen etsiäksesi oikean varmenteen. Ilman isäntänimeä IIS ei voi etsiä oikeaa sivustoa, koska sidonta on keskeneräinen. Ilman sertifikaattia IIS ei voi purkaa SSL-blobia, joka sisältää isäntänimen. Peli ohi - olemme kääntymässä ympyröissä.

On mahdollista käyttää SSL-varmenteita isäntätunnisteiden kanssa jaetulla IP-osoitteella, mutta sinun on silti hankittava tämä ensimmäinen IP-osoite:

Mutta on tapa, jos tarvitset kahta eri sivustoa samalla IP: llä: Portti. Voit saavuttaa tämän hankkimalla varmenteen, joka sisältää molemmat yleisnimet, eli sitev1.omasivusto.com ja sitev2.sivusto.com. Cert-viranomaiset sallivat varmenteessa yleensä useamman kuin yhden ns. "Yleisnimen". Sitomalla varmenne jompaankumpaan sivustosta et enää saa varmennevirheitä. Asiakas on onnellinen, jos yksi varmenteen nimistä täsmää.

Kun palvelijasi sanoo "silloin se soveltuu myös addon-verkkotunnuksiin.", mitä he tarkoittavat, voit joko käyttää:

  • yleismerkki SSL esim. * .esimerkki.fi, sitten useampi kuin yksi sivusto, joka on isäntä esimerkissä.com, voi jakaa IP-osoitteen, esimerkiksi www.esimerkki.fi, webmail.esimerkki.fi ja niin edelleen.

  • Subject Alternative Names SSL, joka sallii useamman kuin yhden toimialueen suojaamisen samalla SSL: llä, esimerkiksi: http://www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/

  • 4 @ilhan tämä vastaus ei ole enää tarkka. Tässä on muita vastauksia, jotka osoittavat SNI: tä, joka sallii useita ssl-sertifikaatteja IP-osoitetta kohti.
  • Päivitä tämä vastaus vastaamaan nykytilannetta.

RFC 4366 (Server Name Indication) sallii virtuaalisen isännöinnin SSL: lle ja on melko vanha ja nykyään hyvin tuettu

Katso melko yksityiskohtainen selitys osoitteesta http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI.

  • Onko sinulla tietoja nykyisestä SNI-tuesta?
  • 3 Tässä wikiartikkelissa on enemmän yhteensopivuustietoja palvelimen nimen indikaation tuesta: en.wikipedia.org/wiki/Server_Name_Indication

Se riippuu palvelinohjelmistosta. IIS 7 tukee useiden SSL-verkkojen isännöintiä, jolloin sivustot ovat samalla IP-osoitteella.

Palvelimien SSL-varmenteita on useita erilaisia, mukaan lukien ne, jotka toimivat yhdellä palvelimella, ne, joita voidaan käyttää koko palvelinten toimialueella (ns. Jokerimerkkisertifikaatit) ja ne, jotka toimivat useilla toimialueilla.

Ole erittäin varovainen, minkä sertifikaatin ostat, koska se rajoittaa skaalausta.

FYI: Sertifikaattiviranomaiset (sertifikaatteja myöntävät yritykset) eivät halua myöntää koko toimialueen tai usean toimialueen sertifikaatteja, koska ne pitävät niitä tulojen menetyksenä. (Miksi antaa 1 sertifikaatti koko verkkotunnukselle hintaan $ x, kun voit antaa 5 sertifikaattia hintaan $ 5x?), Mutta jos painat niitä, voit yleensä saada heidät lähettämään sinulle toimialueen laajuisen sertifikaatin.

Useiden SSL-yhteensopivien verkkosivustojen isännöinti yhdelle palvelimelle tarvitsee yleensä yhden IP-osoitteen per sivusto, mutta SAN SSL -varmenne voi ratkaista tämän ongelman. MS IIS 6 ja Apache pystyvät molemmat virtuaalipalvelimen HTTPS-sivustoihin käyttämällä UC-sertifikaattia, joka tunnetaan myös nimellä SAN-varmenteet.

SAN-varmenteen käyttäminen säästää vaivaa ja aikaa, kun määrität useita IP-osoitteita Exchange 2007 -palvelimellesi, sitovat jokaisen IP-osoitteen eri varmenteeseen ja suoritat paljon matalan tason Power Shell -komentoja vain kokoamaan ne yhteen.

Vaivatonta ja vaivatonta ylläpitää kuin asettaa useita IP-osoitteita palvelimellesi ja määrittää jokaiselle oma varmenne.

Se tarkoittaa, että kaikki isännöimäsi verkkotunnus määrittää IP-osoitteesi. Mutta voit rajoittaa isännän asettamaan IP vain tietylle verkkotunnukselle. Suojattu SSL-varmenne on käytössä verkkotunnuksessa, mutta toimialueen tulee olla erillisellä IP-osoitteella. Jotkut SSL-varmenteet voivat myös suojata useita verkkotunnuksia, kuten geotrust multidomain ev. Jaetussa hostingissa on useita verkkotunnuksia samassa isännöinnissä, joten IP-osoitteesi isännöi myös jonkin muun asiakkaan verkkotunnusta. Joten se ei ole turvallista, joten se ei toimi.

  • Kysymystä ei tarvitse lainata vastauksessa.

työskennellyt sinulle: Charles Robertson | Haluatko yhteyttä?