Кілька приватних сертифікатів SSL на одному спільному плані хостингу? [зачинено]


12

Нещодавно я зв’язався зі своїм спільним провайдером хостингу щодо налаштування приватного SSL для деяких моїх сайтів. У мене є кілька сайтів, розміщених у рамках одного плану (план передбачає необмежену кількість доменів). Однак мені сказали, що оскільки він є спільним хостингом і в кінцевому підсумку кожен сайт працює з однієї і тієї ж IP-адреси, я міг би встановити лише один сертифікат і захистити лише 1 з моїх сайтів (оскільки кожен сертифікат вимагає спеціального IP-адреси).

Інший варіант, який вони мені дали - це використовувати спільний сертифікат; це неприпустимо, оскільки браузер генерує попередження про сертифікат. Моє запитання: це типово для провайдерів спільного хостингу чи я можу знайти той, який дозволяє мені кілька приватних сертифікатів? Зараз я розробляю кілька сайтів і хотів би мінімізувати витрати, тому я ще не перейшов на VPS або виділений хостинг. Дякую.

Відповіді:


6

Інформація, надана вашим провайдером хостингу, була дійсно точною.

Трафік на основі SSL повинен бути прив’язаний до однієї IP-адреси, щоб можна було встановити початкове рукостискання SSL та зашифроване з'єднання. Це все робиться до того, як веб-сервер навіть представить запитуваний URI. Через це у вас може бути лише один сертифікат, прив'язаний до кожної IP-адреси. Хоча ви можете мати необмежену кількість доменів, прив’язаних до однієї IP-адреси, що виключає встановлення SSL-сертифіката.

Багато спільних провайдерів дозволять вам платити за додаткову IP-адресу на певних планах спільного хостингу, щоб дозволити використання сертифікатів SSL. Ви можете виявити, що ваш постачальник дійсно пропонує це, але він може бути доступний лише в іншому плані, оскільки це вважатиметься більш досконалою послугою, тому може бути недоступною з більш простим планом хостингу.


5

Редагувати: це питання з 2009 року, коли відповідь (нижче) була правильною. Якщо люди зараз стикаються з цією інформацією, це більш-менш не має значення:

Питання стосується SSL , і обмеження, яке ви заявили про SSL, було і є правильним. Однак зараз усі використовують TLS, і вказівка ​​імені сервера (SNI) є широкодоступною, що вирішує саме цю проблему. Звичайно, ви все ще можете використовувати сертифікати підстановки, але індивідуальні сертифікати для кожного хоста TLS також можливі .

Це не допоможе в ситуації з оригінальним запитанням 2009 року, але оновить відповідь, щоб бути більш актуальною на момент редагування, 2015 р.


Оригінальна відповідь від 2009 року:

Інформація про 1 https кінцеву точку на IP-адресу є вірною. Протокол такий, що шифрування запускається до того, як клієнт і сервер узгоджуватимуть URL-адресу, яка потрібна VirtualHosts для включення SSL. Ключ / сертифікат залежатиме від URL-адреси - хоч імені хоста - для встановлення декількох сертифікатів на одному IP-адресі, але він використовується, перш ніж сервер дізнається, з якою URL-адресою потрібно зв’язатися.

Я розумію, що над протоколом працює, але на даний момент вирішення цього питання немає - принаймні, як правило, недоступний.

Оновлення: Якщо ви отримаєте лише 1 IP для себе, ви можете використовувати сертифікати підстановки. В основному вони засвідчують особу не для www.example.com, а для * .example.com, так що ви можете мати декілька хостів, які спільно використовують один і той же IP, без будь-якого попередження, створеного в браузері.


Чи можете ви детальніше розглянути ваше оновлення: чи не все-таки генеруватиме попередження cert для будь-якого сайту, окрім * .example?
em444

Так, це було б. Підстановочні картки дуже корисні лише для хостів у межах одного домену, але я думаю, що ви розміщуєте безліч різних доменів.
Девід Пашлі

Так, і я, здається, не можу знайти
проблему, не вистачаючи

Дякую Девіду за відповідь на перше запитання - я пішов незабаром після відповіді. Тільки для розміщення кількох https-сайтів вам не знадобиться більше одного сервера. Цілком нормально мати один сервер з декількома IP-адресами і прив’язувати кожну адресу до власного віртуального хоста ssl. Обмеження - це ip-адреса (можливо, обмеження обладнання, накладені вашими серверами). Вам просто потрібно знайти хостер, який надає кілька IP-адрес на сервері. Згадування про багатодоменний https-хостинг зазвичай є причиною їх прийняття, якщо вони взагалі є в цьому бізнесі.
Олаф

1

Є лише два способи захистити кілька доменів, які використовують один і той же IP. Або використовуйте різні порти сервісу для кожного серта (ця опція вичерпується) або знайдіть ЦС, що дозволяє SubjectAltName в сертифікатах.

За допомогою SubjectAltName ви можете визначити стільки записів DNS на сертифікат, скільки вам потрібно. Значить один сертифікат підтвердить автентифікацію кількох доменів. Це виходить за маски, оскільки домени не повинні мати нічого спільного. Як приклад цього ви можете переглянути CAcert, який це дозволяє.



0

Якщо ви зможете знайти спільний хост, який дасть вам декілька IP-адрес, ви можете отримати кілька сертів, але ви не можете дійсно (наскільки я це розумію) мати кілька сертів на одній і тій же IP-адресі, якщо її не поділили.

Якщо ви хочете чогось більш вигідного (і ви не боїтеся зробити трохи власної роботи з налаштуванням), ви можете подивитися на хмару стійки (раніше Mosso, схожу на EC2, лише трохи дешевше ... ви могли б теоретично запустити сервер розробок близько 15 доларів на місяць): http://www.rackspacecloud.com

[ОНОВЛЕННЯ] У вас ще недостатньо респондентів для коментарів, але, як зазначено нижче, ви можете технічно отримати сертифікат підстановки, який дійсний для всіх субдоменів домену (* .example.com, який включає www.example.com). Однак це не працює з кількома доменами, вам все одно знадобиться кілька IP-адрес з причин, пояснених Olaf.


Так, я заглянув у підстановку cert і виявилося, що це буде дорожче, ніж просто підписатись на додаткові плани хостингу ....
em444

0

Це не все, що корисна відповідь зараз, але в майбутньому ви повинні мати можливість використовувати індикацію імені сервера , яка використовує розширення в протоколі TLS для відправлення імені сервера як частини передачі TLS. Це вказано в RFC3546 . На жаль, це не дуже добре підтримується. OpenSSL не вмикає його за замовчуванням до 0.9.8j, що вийшов 5 місяців тому. IE в Windows XP не підтримує його, але працює на Vista. І IIS просто не підтримує його взагалі. Поки всі ваші користувачі на XP не зникнуть, і ваш хостинг-провайдер не модернізує свої сервери, ви не можете цього зробити.


Це добре знати. На жаль, напевно, це не досить довгий час ... чи знаєте ви, чи хостинг VPS дозволив би мені досягти своєї мети (я мало про це знаю) .. якщо ні, то який тип хостинг-плану мені потрібно дозволити це ... дякую
em444

Вам знадобиться хостинг-провайдер, який дасть вам стільки IP-адрес, скільки вам потрібно. Ви можете знайти постачальника VPS, який зробить це, але я підозрюю, що ви швидше знайдете спеціалізований сервер із цим варіантом, який буде в два-три рази дорожчим.
Девід Пашлі

0

Це правда, що ви не можете мати декілька ssl certs для одного IP.

Однак технічно можливо отримати сертифікат, дійсний для domain1.example.org domain2.example.com тощо.

Ось приклад.


0

Чи не дозволяє ваш хост мати виділені IP-адреси. Ви повинні мати змогу знайти хоста, який дозволяє придбати план із спільним хостингом, але виділеними IP-адресами. Ми робимо це, наприклад, із сервером Server Intellect www.serverintellect.com, наприклад. В основному, вони просто стягують з нас окрему невелику плату за кожен потрібний нам IP


0

Я успішно розгорнув кілька сертифікатів SSL на одному, але виділеному хості, використовуючи IP-псевдонім. Як це можна чи потрібно використовувати в спільному хостинг-плані, я не можу відповісти. Я вважав цю статтю про IBM Developerworks дуже інформативною.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.