Czy unikalny adres IP jest niezbędny dla SSL?

23

Współdzielona firma hostingowa powiedziała mi, że jeśli kupię adres IP, będzie on również obowiązywał w przypadku domen addon. Co to znaczy? Czy certyfikat SSL nie będzie działał, ponieważ w jednym adresie IP będą więcej niż 2 domeny (jeśli dodam domenę addon)? Jeśli certyfikat SSL działa z jednym adresem IP, na którym hostowane są dwie różne domeny, to dlaczego nie działa na hostie współdzielonym?

ilhan
źródło
Nie, nie jest to wymagane. Istnieje wielu dostawców hostingu, którzy zezwalają na certyfikaty SSL na wspólnych adresach IP.
William Edwards,
1
Prawie to samo co moje pytanie: Czy certyfikat SSL faktycznie wymaga dedykowanego adresu IP?
Traven,

Odpowiedzi:

13

UWAGA: Chociaż odpowiedź była dokładna w czasie, gdy została napisana i zaakceptowana, nie jest już poprawna. Istnieją tutaj inne odpowiedzi, które dotyczą adresu SNI, który pozwala na wiele certyfikatów SSL na adres IP.


Tak, potrzebujesz dedykowanego adresu IP dla swojego certyfikatu SSL. Poniższy artykuł wyjaśnia dokładnie, dlaczego:

Certyfikaty SSL w witrynach z nagłówkami hosta

Kluczowy akapit to:

Jest to problem z kurczakiem i jajkiem: nazwa hosta jest zaszyfrowana w obiekcie blob SSL, który wysyła klient. Ponieważ nazwa hosta jest częścią powiązania IIS potrzebuje nazwy hosta do wyszukania odpowiedniego certyfikatu. Bez nazwy hosta usługi IIS nie mogą wyszukać odpowiedniej witryny, ponieważ powiązanie jest niepełne. Bez certyfikatu usługi IIS nie mogą odszyfrować obiektu blob SSL zawierającego nazwę hosta. Koniec gry - kręcimy się w kółko.

Istnieje sposób użycia certyfikatów SSL z nagłówkami hosta na wspólnym adresie IP, ale nadal musisz uzyskać ten pierwszy adres IP:

Ale jest sposób, jeśli potrzebujesz dwóch różnych witryn pod tym samym adresem IP: Port. Możesz to zrobić, otrzymując certyfikat, który zawiera zarówno nazwy pospolite, tj. Sitev1.mysite.com i sitev2.mysitem.com. Urzędy certyfikacji zwykle dopuszczają więcej niż jedną tak zwaną „nazwę zwyczajową” w certyfikacie. Dzięki powiązaniu certyfikatu z jedną z dwóch witryn nie będziesz już otrzymywać błędów certyfikatu. Klient jest szczęśliwy, jeśli jedna z nazw w certyfikacie jest zgodna.

Kiedy Twój host mówi „wtedy będzie to dotyczyć także domen addon”. mają na myśli to, że możesz użyć:

  • wieloznaczny protokół SSL, np. * .example.com, to więcej niż jedna witryna będąca hostem w example.com może współdzielić adres IP, na przykład www.example.com, webmail.example.com i tak dalej.

  • SSL alternatywnych nazw podmiotu, który pozwala zabezpieczyć więcej niż jedną domenę przy użyciu tego samego SSL, na przykład: http://www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/

Kev
źródło
4
@ilhan ta odpowiedź nie jest już dokładna. Istnieją tutaj inne odpowiedzi dotyczące adresu SNI, który pozwala na wiele certyfikatów ssl na adres IP.
Mxx
Zaktualizuj tę odpowiedź, aby odzwierciedlić obecną sytuację.
Lèse majesté
20

RFC 4366 (Server Name Indication) pozwala na wirtualny hosting dla SSL i jest obecnie dość stary i dobrze obsługiwany

Zobacz http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI, aby uzyskać dość szczegółowe wyjaśnienie.

James McCormack
źródło
Czy masz jakieś dane dotyczące bieżącej obsługi SNI?
Deebster
3
Ten artykuł wiki zawiera więcej informacji o zgodności dla obsługi Wskazania nazwy serwera: en.wikipedia.org/wiki/Server_Name_Indication
James McCormack
2

Istnieje kilka rodzajów certyfikatów SSL serwera, w tym te, które działają na jednym serwerze, te, które mogą być używane dla całej domeny serwerów (tak zwane „certyfikaty wieloznaczne”) i te, które działają w wielu domenach.

Uważaj, który certyfikat kupisz, ponieważ ograniczy to sposób skalowania.

FYI: Instytucje certyfikujące (firmy wydające certyfikaty) nie lubią wydawać certyfikatów obejmujących całą domenę lub wielu domen, ponieważ postrzegają je jako utratę dochodów. (Po co wydawać 1 certyfikat dla całej domeny za $ x, skoro można wystawić 5 certyfikatów za 5 x $?), Ale jeśli naciśniesz my, zazwyczaj możesz je skłonić do wystawienia ci certyfikatu dla całej domeny.


źródło
2

Hostowanie wielu witryn z obsługą SSL na jednym serwerze zwykle wymaga jednego adresu IP na witrynę, ale certyfikat SAN SSL może rozwiązać ten problem. Zarówno MS IIS 6, jak i Apache mogą hostować witryny HTTPS wirtualnego hosta za pomocą certyfikatu UC, znanego również jako certyfikaty SAN.

Korzystanie z certyfikatu SAN pozwala zaoszczędzić kłopotów i czasu potrzebnego na skonfigurowanie wielu adresów IP na serwerze Exchange 2007, powiązanie każdego adresu IP z innym certyfikatem i uruchomienie wielu poleceń Power Shell niskiego poziomu, aby wszystko połączyć.

Bezproblemowe i bezproblemowe w utrzymaniu niż umieszczanie wielu adresów IP na serwerze i przypisywanie każdemu z nich innego certyfikatu.

jd4487
źródło
1

Oznacza to, że wszystkie hostowane przez Ciebie domeny przypiszą twoje IP. Możesz jednak ograniczyć hosta do ustawiania adresu IP tylko dla określonej domeny. Zabezpieczony certyfikat SSL stosowany w domenie, ale domena powinna mieć dedykowany adres IP. Niektóre certyfikaty SSL mogą także zabezpieczać wiele domen, np. Geotrust multidomain ev. Na hostingu współdzielonym istnieje wiele domen na tym samym hostingu, więc twój adres IP również hostuje domenę innego klienta. Więc to nie jest bezpieczne, dlatego nie będzie działać.

Kedin
źródło
W odpowiedzi nie ma potrzeby cytowania pytania.
ChrisF,