Là địa chỉ IP duy nhất phải có cho SSL?


23

Công ty lưu trữ chia sẻ nói với tôi rằng nếu tôi mua một địa chỉ IP thì nó cũng sẽ được áp dụng cho các tên miền addon. Nó có nghĩa là gì? Sau đó, chứng chỉ SSL sẽ không hoạt động vì sẽ có nhiều hơn 2 tên miền trong một IP (nếu tôi thêm tên miền addon)? Nếu chứng chỉ SSL hoạt động với một IP nơi được lưu trữ hai tên miền khác nhau thì tại sao nó không hoạt động trên máy chủ dùng chung?


Không, nó không bắt buộc. Có nhiều nhà cung cấp dịch vụ lưu trữ cho phép chứng chỉ SSL trên các IP được chia sẻ.
William Edwards

Câu trả lời:


13

LƯU Ý: Mặc dù câu trả lời này là chính xác tại thời điểm nó được viết và chấp nhận, nhưng nó không còn đúng nữa. Có câu trả lời khác ở đây là địa chỉ SNI cho phép nhiều chứng chỉ SSL cho mỗi địa chỉ IP.


Có, bạn cần một địa chỉ IP chuyên dụng cho chứng chỉ SSL của bạn. Bài viết sau đây giải thích chính xác lý do:

Chứng chỉ SSL trên Trang web có Tiêu đề Máy chủ

Đoạn quan trọng là:

Đó là vấn đề về gà và trứng: Tên máy chủ được mã hóa trong blob SSL mà khách hàng gửi. Bởi vì tên máy chủ là một phần của IIS ràng buộc cần tên máy chủ để tra cứu chứng chỉ phù hợp. Không có tên máy chủ, IIS không thể tra cứu đúng trang web vì liên kết không đầy đủ. Nếu không có chứng chỉ, IIS không thể giải mã blob SSL chứa tên máy chủ. Trò chơi kết thúc - chúng tôi đang chuyển sang vòng tròn.

Có một cách để sử dụng chứng chỉ SSL với các tiêu đề máy chủ trên một địa chỉ IP được chia sẻ, nhưng bạn vẫn cần lấy địa chỉ IP đầu tiên đó:

Nhưng có một cách nếu bạn cần hai trang web khác nhau trên cùng một IP: Cổng. Bạn có thể thực hiện điều này bằng cách lấy chứng chỉ chứa cả hai tên phổ biến, ví dụ sitev1.mysite.com và sitev2.mysitem.com. Cơ quan chứng nhận thường cho phép nhiều hơn một cái gọi là "tên chung" trong một chứng chỉ. Bằng cách ràng buộc chứng chỉ với một trong hai trang web, bạn sẽ không gặp phải lỗi chứng chỉ nữa. Khách hàng rất vui nếu một trong các tên trong chứng chỉ khớp.

Khi hoster của bạn nói "thì nó cũng sẽ được áp dụng cho các tên miền addon." , ý nghĩa của chúng là bạn có thể sử dụng:

  • SSL ký tự đại diện, ví dụ * .example.com, sau đó nhiều trang web là máy chủ lưu trữ trong example.com có ​​thể chia sẻ địa chỉ IP, ví dụ: www.example.com, webmail.example.com, v.v.

  • Ví dụ, tên SSL thay thế cho phép bảo mật nhiều hơn một tên miền bằng cùng một SSL, ví dụ: http://www.globalsign.co.uk/ssl/buy-ssl-certert/unified-crans notify-ssl/


4
@ilhan câu trả lời này không còn chính xác. Có những câu trả lời khác ở đây giải quyết SNI cho phép nhiều ssl certs trên mỗi IP.
Mxx

Vui lòng cập nhật câu trả lời này để phản ánh tình hình hiện tại.
Lèse majesté

20

RFC 4366 (Chỉ định tên máy chủ) cho phép lưu trữ ảo cho SSL và khá cũ và được hỗ trợ tốt hiện nay

Xem http://wiki.apache.org/httpd/NameBasingSSLVhostsWithSNI để biết giải thích khá sâu sắc.


Bạn có dữ liệu nào về hỗ trợ SNI hiện tại không?
Deebster

3
Bài viết wiki này có thêm thông tin tương thích cho hỗ trợ Chỉ định Tên Máy chủ: en.wikipedia.org/wiki/Server_Name_Inication
James McCormack


2

Có một số loại chứng chỉ SSL máy chủ bao gồm các loại chứng chỉ hoạt động cho một máy chủ, những loại có thể được sử dụng cho toàn bộ miền của máy chủ (được gọi là certs 'wildcard') và những loại hoạt động trên nhiều miền.

Hãy cẩn thận với chứng chỉ bạn mua vì nó sẽ giới hạn cách bạn có thể mở rộng quy mô.

FYI: Cơ quan cấp chứng chỉ (các công ty phát hành certs) không muốn phát hành certs toàn miền hoặc đa miền vì họ coi họ là một doanh thu bị mất. (Tại sao cấp 1 chứng chỉ cho toàn bộ tên miền ở mức $ x khi bạn có thể phát hành 5 certs với giá 5x?) Nhưng nếu bạn nhấn themy, bạn thường có thể khiến họ cấp cho bạn một chứng chỉ toàn miền.


2

Lưu trữ nhiều trang web hỗ trợ SSL trên một máy chủ thường cần địa chỉ IP duy nhất trên mỗi trang, nhưng Chứng chỉ SSL SSL có thể giải quyết khó khăn này. MS IIS 6 và Apache đều có thể truy cập các trang web HTTPS của máy chủ ảo bằng Chứng chỉ UC, còn được gọi là chứng chỉ SAN.

Sử dụng chứng chỉ SAN giúp bạn tránh được rắc rối và thời gian liên quan đến việc định cấu hình nhiều địa chỉ IP trên máy chủ Exchange 2007 của bạn , liên kết từng địa chỉ IP với một chứng chỉ khác nhau và chạy rất nhiều lệnh Power Shell cấp thấp để ghép tất cả lại với nhau.

Dễ dàng và không gặp rắc rối để duy trì hơn là đặt nhiều địa chỉ IP trên máy chủ của bạn và gán một chứng chỉ khác nhau cho mỗi địa chỉ.


1

Điều đó có nghĩa là tất cả các tên miền được lưu trữ bởi bạn sẽ chỉ định IP của bạn. Nhưng bạn có thể hạn chế máy chủ chỉ đặt IP cho tên miền cụ thể. Chứng chỉ SSL được bảo mật áp dụng trên tên miền nhưng tên miền phải có trên IP chuyên dụng. Một số chứng chỉ SSL cũng có thể bảo mật nhiều tên miền như geotrust multidomain ev. Trên lưu trữ chia sẻ có nhiều tên miền trên cùng một lưu trữ, vì vậy IP của bạn cũng lưu trữ một số miền của khách hàng khác. Vì vậy, nó không an toàn đó là lý do tại sao nó sẽ không hoạt động.


Không cần phải trích dẫn câu hỏi trong câu trả lời.
ChrisF
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.