ที่อยู่ IP ที่ไม่ซ้ำกันเป็นสิ่งจำเป็นสำหรับ SSL หรือไม่

บริษัท โฮสติ้งที่ใช้ร่วมกันบอกฉันว่าถ้าฉันซื้อที่อยู่ IP ก็จะสามารถใช้ได้กับโดเมน addon ด้วย มันหมายความว่าอะไร? ดังนั้นใบรับรอง SSL จะไม่ทำงานเนื่องจากจะมีมากกว่า 2 โดเมนใน IP เดียว (ถ้าฉันเพิ่มโดเมน addon) หากใบรับรอง SSL ทำงานกับ IP หนึ่งที่โฮสต์สองโดเมนที่แตกต่างกันทำไมมันไม่ทำงานบนโฮสต์ที่ใช้ร่วมกัน?

หมายเหตุ: แม้ว่าคำตอบนี้จะถูกต้องในขณะที่เขียนและยอมรับ แต่ก็ไม่ถูกต้องอีกต่อไป มีคำตอบอื่น ๆ ที่นี่ที่อยู่ SNI ซึ่งอนุญาตใบรับรอง SSL หลายรายการต่อที่อยู่ IP

ใช่คุณต้องมีที่อยู่ IP เฉพาะสำหรับใบรับรอง SSL ของคุณ บทความต่อไปนี้อธิบายว่าทำไม:

ใบรับรอง SSL บนไซต์ที่มีส่วนหัวโฮสต์

ย่อหน้าสำคัญคือ:

มันเป็นปัญหาไก่และไข่: ชื่อโฮสต์ถูกเข้ารหัสใน SSL blob ที่ไคลเอนต์ส่ง เนื่องจากชื่อโฮสต์เป็นส่วนหนึ่งของการโยง IIS ต้องการชื่อโฮสต์เพื่อค้นหาใบรับรองที่ถูกต้อง หากไม่มีชื่อโฮสต์ IIS ไม่สามารถค้นหาไซต์ที่ถูกต้องได้เนื่องจากการเชื่อมโยงไม่สมบูรณ์ หากไม่มีใบรับรอง IIS ไม่สามารถถอดรหัส SSL blob ที่มีชื่อโฮสต์ได้ จบเกม - เรากำลังหมุนเป็นวงกลม

มีวิธีใช้ใบรับรอง SSL กับส่วนหัวของโฮสต์บนที่อยู่ IP ที่ใช้ร่วมกัน แต่คุณยังต้องได้รับที่อยู่ IP แรก:

แต่มีวิธีถ้าคุณต้องการสองไซต์ที่แตกต่างกันบน IP เดียวกัน: พอร์ต คุณสามารถทำได้โดยรับใบรับรองที่มีชื่อสามัญทั้งชื่อเช่น sitev1.mysite.com และ sitev2.mysitem.com ผู้มีสิทธิ์ออกใบรับรองมักจะอนุญาตให้มีมากกว่าหนึ่งชื่อที่เรียกว่า "ชื่อสามัญ" ในใบรับรอง โดยการผูกใบรับรองกับหนึ่งในสองเว็บไซต์คุณจะไม่ได้รับข้อผิดพลาดของใบรับรองอีกต่อไป ลูกค้ามีความสุขถ้าหนึ่งในชื่อในใบรับรองตรงกัน

เมื่อลูกไก่ของคุณพูดว่า"มันจะใช้ได้กับโดเมน addon ด้วย" คุณหมายถึงอะไรคุณสามารถใช้:

• SSL wildcard เช่น * .example.com ดังนั้นมีมากกว่าหนึ่งเว็บไซต์ที่เป็นโฮสต์ใน example.com สามารถแบ่งปันที่อยู่ IP เช่น www.example.com, webmail.example.com เป็นต้น

• Subject Alternative Names SSL ที่อนุญาตให้มากกว่าหนึ่งโดเมนมีความปลอดภัยโดยใช้ SSL เดียวกันตัวอย่างเช่น: http://www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/

RFC 4366 (บ่งชี้ชื่อเซิร์ฟเวอร์) อนุญาตให้โฮสต์เสมือนสำหรับ SSL และค่อนข้างเก่าและได้รับการสนับสนุนเป็นอย่างดีในปัจจุบัน

ดูhttp://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNIสำหรับคำอธิบายในเชิงลึก

ขึ้นอยู่กับซอฟต์แวร์เซิร์ฟเวอร์ IIS 7 รองรับการโฮสต์หลาย SSL ช่วยให้ไซต์บนที่อยู่ IP เดียวกัน

มีใบรับรอง SSL เซิร์ฟเวอร์หลายประเภทรวมถึงใบรับรองที่ใช้งานได้กับเซิร์ฟเวอร์เดียวใบรับรองที่สามารถใช้สำหรับโดเมนทั้งหมดของเซิร์ฟเวอร์ (ที่เรียกว่าใบรับรอง 'ตัวแทน') และใบรับรองที่ใช้ได้กับหลายโดเมน

ใช้ความระมัดระวังเป็นอย่างยิ่งซึ่งใบรับรองที่คุณซื้อนั้นจะ จำกัด ว่าคุณจะปรับขนาดได้อย่างไร

FYI: ผู้ออกใบรับรอง (บริษัท ที่ออกใบรับรอง) ไม่ต้องการออกใบรับรองทั้งโดเมนหรือหลายโดเมนเนื่องจากพวกเขามองว่าเป็นการสูญเสียรายได้ (เพราะเหตุใดจึงออกใบรับรอง 1 ฉบับสำหรับโดเมนทั้งหมดที่ $ x เมื่อคุณสามารถออก 5 certs สำหรับ $ 5x ได้) แต่ถ้าคุณกดพวกเขาพวกคุณมักจะให้พวกเขาออกใบรับรองทั่วทั้งโดเมนให้คุณ

การโฮสต์เว็บไซต์ที่เปิดใช้งาน SSL หลายแห่งบนเซิร์ฟเวอร์เดียวมักต้องการที่อยู่ IP เดียวต่อเว็บไซต์ แต่ใบรับรอง SSL ของ SAN สามารถแก้ปัญหานี้ได้ MS IIS 6 และ Apache สามารถใช้เว็บไซต์ HTTPS โฮสต์เสมือนโดยใช้ UC Certificate หรือที่เรียกว่าใบรับรอง SAN

การใช้ใบรับรอง SAN ช่วยให้คุณประหยัดเวลาและความยุ่งยากในการกำหนดค่าที่อยู่ IP หลายรายการในเซิร์ฟเวอร์ Exchange 2007ของคุณเชื่อมโยงแต่ละที่อยู่ IP กับใบรับรองที่แตกต่างกันและเรียกใช้คำสั่ง Power Shell ระดับต่ำจำนวนมากเพื่อรวมเข้าด้วยกัน

ง่ายดายและไร้ปัญหาในการรักษามากกว่าการใส่ที่อยู่ IP หลายรายการบนเซิร์ฟเวอร์ของคุณและกำหนดใบรับรองที่แตกต่างให้กับแต่ละ

หมายความว่าโดเมนทั้งหมดโฮสต์โดยคุณจะกำหนด IP ของคุณ แต่คุณสามารถ จำกัด โฮสต์ให้ตั้งค่า IP สำหรับโดเมนเฉพาะเท่านั้น ใช้ใบรับรอง SSL ที่ปลอดภัยบนโดเมน แต่โดเมนควรอยู่ใน IP เฉพาะ ใบรับรอง SSL บางตัวสามารถรักษาความปลอดภัยได้หลายโดเมนเช่น geotrust multidomain ev บนโฮสติ้งที่ใช้ร่วมกันมีหลายโดเมนในโฮสติ้งเดียวกันดังนั้น IP ของคุณยังโฮสต์โดเมนของลูกค้าอื่น ดังนั้นจึงไม่ปลอดภัยว่าทำไมมันจะไม่ทำงาน