Nhiều chứng chỉ SSL riêng trên một gói lưu trữ được chia sẻ? [đóng cửa]

Gần đây tôi đã liên hệ với nhà cung cấp dịch vụ lưu trữ chia sẻ của mình về việc thiết lập SSL riêng cho một vài trang web của tôi. Tôi có một số trang web được lưu trữ theo cùng một gói (kế hoạch cho phép các miền không giới hạn). Tuy nhiên, tôi được thông báo rằng vì nó được chia sẻ lưu trữ và cuối cùng mỗi trang web chạy từ cùng một địa chỉ IP, tôi chỉ có thể cài đặt một chứng chỉ duy nhất và chỉ bảo mật 1 trang web của mình (vì mỗi chứng chỉ yêu cầu một IP chuyên dụng).

Tùy chọn khác họ đưa cho tôi là sử dụng chứng chỉ chung; điều này là không thể chấp nhận được vì trình duyệt sẽ tạo cảnh báo chứng chỉ. Câu hỏi của tôi là: đây có phải là nhà cung cấp dịch vụ lưu trữ chia sẻ hay tôi có thể tìm thấy một nhà cung cấp cho tôi nhiều chứng chỉ riêng tư không? Tôi hiện đang phát triển một số trang web và muốn giữ chi phí ở mức tối thiểu, đó là lý do tại sao tôi chưa nâng cấp lên VPS hoặc lưu trữ chuyên dụng. Cảm ơn.

Thông tin được cung cấp cho bạn bởi nhà cung cấp dịch vụ lưu trữ chia sẻ của bạn thực sự chính xác.

Lưu lượng truy cập dựa trên SSL phải được liên kết với một địa chỉ IP duy nhất để có thể thiết lập kết nối bắt tay và mã hóa SSL ban đầu. Tất cả điều này được thực hiện trước khi máy chủ web thậm chí được trình bày với URI được yêu cầu. Do đó, bạn chỉ có thể có một chứng chỉ được liên kết với mỗi địa chỉ IP. Mặc dù bạn có thể có các miền không giới hạn được liên kết với một địa chỉ IP duy nhất có cài đặt chứng chỉ SSL.

Nhiều nhà cung cấp chia sẻ sẽ cho phép bạn trả tiền cho một địa chỉ IP bổ sung trên các gói lưu trữ được chia sẻ nhất định để cho phép chứng chỉ SSL được sử dụng. Bạn có thể thấy rằng nhà cung cấp của bạn thực tế cung cấp điều này, nhưng nó chỉ có thể có trên một gói khác vì đây sẽ được coi là một dịch vụ tiên tiến hơn nên có thể không có sẵn với gói lưu trữ đơn giản hơn.

Chỉnh sửa: Câu hỏi này là từ năm 2009, khi câu trả lời (bên dưới) là chính xác. Nếu mọi người chạy vào thông tin này ngay bây giờ, nó ít nhiều không liên quan:

Câu hỏi là về SSL , và giới hạn mà bạn đã nêu về SSL là và vẫn đúng. Tuy nhiên, mọi người hiện đang sử dụng TLS và Chỉ định Tên Máy chủ (SNI) có sẵn rộng rãi, giải quyết chính xác vấn đề này. Tất nhiên bạn vẫn có thể tiếp tục sử dụng chứng chỉ ký tự đại diện, nhưng chứng chỉ riêng cho từng máy chủ TLS cũng có thể .

Điều này sẽ không giúp ích cho tình huống của câu hỏi ban đầu năm 2009, nhưng không cập nhật câu trả lời để phù hợp hơn tại thời điểm chỉnh sửa, 2015

Câu trả lời gốc từ năm 2009:

Thông tin về điểm cuối 1 https trên mỗi IP là chính xác. Giao thức sao cho việc mã hóa bắt đầu trước khi máy khách và máy chủ đàm phán URL, sẽ được yêu cầu cho Virtualhost để kích hoạt SSL. Khóa / chứng chỉ sẽ phụ thuộc vào url - còn gọi là tên máy chủ - để thiết lập nhiều chứng chỉ trên một IP, nhưng nó được sử dụng trước khi máy chủ biết URL nào sẽ được liên hệ.

Tôi hiểu rằng giao thức đang được thực hiện, nhưng hiện tại không có giải pháp nào cho vấn đề này - ít nhất là không có sẵn nói chung.

Cập nhật: Nếu bạn chỉ có 1 IP cho chính mình, bạn có thể sử dụng chứng chỉ ký tự đại diện. Về cơ bản, họ xác nhận danh tính không phải cho www.example.com mà cho * .example.com, để bạn có thể có nhiều máy chủ chia sẻ cùng một IP mà không có bất kỳ cảnh báo nào được tạo trong trình duyệt.

Chỉ có hai cách để bảo mật nhiều tên miền sử dụng cùng một IP. Sử dụng các cổng dịch vụ khác nhau cho mỗi chứng chỉ (tùy chọn này hút) hoặc tìm một CA cho phép SubjectAltName trong các chứng chỉ.

Với SubjectAltName, bạn có thể xác định số lượng mục nhập DNS cho mỗi chứng chỉ tùy thích. Có nghĩa là một chứng chỉ sẽ xác thực một số tên miền. Điều này vượt ra ngoài các ký tự đại diện vì các miền không phải có bất kỳ điểm chung nào. Như một ví dụ về điều này, bạn có thể kiểm tra CAcert cho phép điều này.

Đó không còn là trường hợp nếu sử dụng Apache 2.2.12 triển khai SNI, một địa chỉ duy nhất không còn cần thiết cho mỗi chứng chỉ. Hy vọng chúng ta sẽ thấy nhiều hơn về điều này có sẵn để chia sẻ lưu trữ bây giờ.

https://www.digicert.com/ssl-support/apache-multipl-ssl-certert-USE-sni.htm

Nếu bạn có thể tìm thấy một máy chủ được chia sẻ sẽ cung cấp cho bạn nhiều IP, bạn có thể nhận được nhiều certs, nhưng bạn thực sự không thể (theo tôi hiểu) có nhiều certs trên cùng một địa chỉ IP trừ khi nó được chia sẻ.

Nếu bạn muốn một cái gì đó hiệu quả hơn về chi phí (và bạn không sợ phải thực hiện một chút công việc cấu hình của riêng mình), bạn có thể nhìn vào đám mây rackspace (trước đây là Mosso, tương tự EC2, chỉ rẻ hơn một chút ... bạn có thể về mặt lý thuyết chạy một máy chủ dev khoảng 15 đô la một tháng): http://www.rackspacecloud.com

[CẬP NHẬT] Chưa có đủ đại diện để bình luận, nhưng như đã nêu dưới đây, về mặt kỹ thuật bạn có thể nhận được chứng chỉ ký tự đại diện, hợp lệ cho tất cả các tên miền phụ của một tên miền (* .example.com, bao gồm www.example.com). Tuy nhiên, điều này không hoạt động với nhiều tên miền, bạn vẫn sẽ cần nhiều địa chỉ IP vì những lý do được giải thích bởi Olaf.

Đây không phải là một câu trả lời hữu ích ngay bây giờ, nhưng trong tương lai, bạn sẽ có thể sử dụng Chỉ định Tên Máy chủ , sử dụng phần mở rộng trong giao thức TLS để gửi tên máy chủ như một phần của bắt tay TLS. Nó được chỉ định trong RFC3546 . Thật không may, nó không được hỗ trợ tốt. OpenSSL không cho phép nó theo mặc định cho đến 0.9.8j, được phát hành 5 tháng trước. IE trên Windows XP không hỗ trợ, nhưng trên Vista. Và IIS hoàn toàn không hỗ trợ nó. Cho đến khi tất cả người dùng của bạn trên XP biến mất và nhà cung cấp dịch vụ lưu trữ của bạn nâng cấp máy chủ của họ, bạn sẽ không thể làm được gì nhiều về điều đó.

Đúng là bạn không thể có nhiều ssl certs cho một IP.

Tuy nhiên, về mặt kỹ thuật có thể có được một chứng chỉ hợp lệ cho domain1.example.org domain2.example.com, v.v ...

Đây là một ví dụ.

Có phải máy chủ của bạn không cho phép bạn có IP chuyên dụng. Bạn sẽ có thể tìm thấy một máy chủ cho phép bạn mua một gói với lưu trữ được chia sẻ, nhưng IP chuyên dụng. Chúng tôi đang làm điều này với Server Intellect www.serverintellect.com chẳng hạn. Về cơ bản, họ chỉ tính phí cho chúng tôi một khoản phí nhỏ cho mỗi IP chuyên dụng mà chúng tôi yêu cầu.

Tôi đã triển khai thành công nhiều chứng chỉ SSL trên một máy chủ, nhưng dành riêng, sử dụng bí danh IP. Làm thế nào điều này có thể hoặc nên được sử dụng trên một gói lưu trữ được chia sẻ, tôi không thể trả lời. Tôi thấy bài viết này trên IBM Developerworks rất nhiều thông tin.