Tek bir paylaşılan barındırma planında birden fazla özel SSL sertifikası mı? [kapalı]

Kısa bir süre önce sitelerimden birkaçı için özel SSL kurma konusunda paylaşılan barındırma sağlayıcımla iletişim kurdum. Aynı plan altında barındırılan birkaç sitem var (plan sınırsız alana izin veriyor). Ancak, barındırma paylaşıldığı ve sonuçta her site aynı IP adresinden çalıştığı için, yalnızca tek bir sertifika yükleyebileceğim ve yalnızca 1 sitemi güvence altına alabileceğim söylendi (her sertifika özel bir IP gerektirdiğinden).

Bana verdikleri diğer seçenek ortak bir sertifika kullanmaktı; tarayıcı bir sertifika uyarısı oluşturacağından bu kabul edilemez. Sorum şu: bu paylaşılan barındırma sağlayıcıları tipik mi yoksa birden fazla özel sertifika sağlayan bir tane bulabilir miyim? Şu anda birkaç site geliştiriyorum ve bu yüzden henüz VPS veya özel hosting yükseltme değil bu yüzden minimum maliyet tutmak istiyorum. Teşekkürler.

Paylaşılan barındırma sağlayıcınız tarafından size sağlanan bilgiler gerçekten doğruydu.

İlk SSL anlaşmasının ve şifreli bağlantının kurulabilmesi için SSL tabanlı trafiğin tek bir IP adresine bağlanması gerekir. Tüm bunlar, web sunucusu istenen URI ile sunulmadan önce yapılır. Bu nedenle, her IP adresine yalnızca bir sertifika bağlayabilirsiniz. SSL sertifikası yüklemesini engelleyen tek bir IP adresine bağlı sınırsız alan adınız olabilir.

Birçok paylaşılan sağlayıcı, SSL sertifikalarının kullanılmasına izin vermek için belirli paylaşılan barındırma planlarında ek bir IP adresi için ödeme yapmanıza olanak tanır. Sağlayıcınızın aslında bunu sunduğunu görebilirsiniz, ancak bu daha gelişmiş bir hizmet olarak kabul edileceği için sadece başka bir plan üzerinde mevcut olabilir, bu nedenle daha basit bir barındırma planıyla mevcut olmayabilir.

Düzenleme: Bu soru, cevabın (aşağıda) doğru olduğu 2009 yılına aittir. İnsanlar bu bilgilere şimdi girerse, bu aşağı yukarı ilgisizdir:

Sorusu hakkında SSL ve belirtilen bu sınırlama SSL hakkında hala ve doğrudur. Ancak, herkes şimdi TLS kullanıyor ve Sunucu Adı Göstergesi (SNI) yaygın olarak mevcut, bu da tam olarak bu sorunu çözüyor. Tabii ki joker karakter sertifikaları kullanmaya devam edebilirsiniz, ancak her TLS ana bilgisayarı için ayrı sertifikalar da mümkündür .

Bu, orijinal 2009 sorusunun durumunda yardımcı olmayacaktır, ancak cevabı düzenleme sırasında daha alakalı olacak şekilde güncellemektedir, 2015

2009'dan orijinal cevap:

IP başına 1 https bitiş noktası hakkındaki bilgiler doğrudur. Protokol, şifrelemenin istemci ve sunucu URL'yi müzakere etmeden başlayacağı şekildedir; bu, VirtualHosts'un SSL'yi etkinleştirmesi için gerekli olacaktır. Anahtar / sertifika, bir IP'de birden çok sertifika ayarlamak için URL'ye (ana bilgisayar adı) bağlı olacaktır, ancak sunucu hangi URL ile bağlantı kurmak üzere olduğunu bilmeden önce kullanılır.

Protokolün üzerinde çalışıldığını anlıyorum, ancak şu anda bu sorunun çözümü yok - en azından genel olarak mevcut değil.

Güncelleme: Kendiniz için yalnızca 1 IP alırsanız, joker karakter sertifikalarından yararlanabilirsiniz. Temel olarak, www.example.com için değil, * .example.com için kimliğini onaylarlar, böylece tarayıcıda herhangi bir uyarı oluşturmadan aynı IP'yi paylaşan birden çok ana makineye sahip olabilirsiniz.

Aynı IP'yi kullanan birden çok alanın güvenliğini sağlamanın yalnızca iki yolu vardır. Her sertifika için farklı hizmet bağlantı noktaları kullanın (bu seçenek berbat) veya SubjectAltName'e sertifikalar içinde izin veren bir CA bulun.

SubjectAltName ile sertifika başına istediğiniz sayıda DNS girdisi tanımlayabilirsiniz. Yani bir sertifika birkaç alanın kimliğini doğrulayacaktır. Alanların ortak bir şeyi olması gerekmediğinden, bu joker karakterlerin ötesindedir. Bunun bir örneği olarak, buna izin veren CAcert'e göz atabilirsiniz .

SNI uygulayan Apache 2.2.12 kullanılıyorsa, artık sertifika başına tek bir adres gerekli değildir. İnşallah biz şimdi paylaşılan barındırma bu kullanılabilir daha göreceksiniz.

https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm

Size birden fazla IP verecek paylaşılan bir ana bilgisayar bulabilirseniz, birden fazla sertifika alabilirsiniz, ancak paylaşılmadığı sürece aynı IP adresinde gerçekten birden fazla sertifikaya sahip olamazsınız.

Daha düşük maliyetli bir şey istiyorsanız (ve kendi yapılandırma işinizden biraz yapmaktan korkmuyorsanız), raf alanı bulutuna (eski adıyla Mosso, EC2'ye benzer, biraz daha ucuz ... bakabilirsiniz. teorik olarak bir dev sunucusunu ayda yaklaşık 15 ABD Doları karşılığında çalıştırın): http://www.rackspacecloud.com

[GÜNCELLEME] Henüz yorum yapmak için yeterli temsilciniz yok, ancak aşağıda belirtildiği gibi, teknik olarak bir alan adının tüm alt alanları (* .example.com'u içeren * .example.com) için geçerli bir joker karakter sertifikası alabilirsiniz. Ancak, bu birden çok alanla çalışmaz, Olaf tarafından açıklanan nedenlerden dolayı yine de birden fazla IP adresine ihtiyacınız olacaktır.

Bu şu anda bu kadar faydalı bir cevap değil, ancak gelecekte, sunucu adını TLS anlaşmasının bir parçası olarak göndermek için TLS protokolünde bir uzantı kullanan Sunucu Adı Göstergesini kullanabilmeniz gerekir . RFC3546'da belirtilmiştir . Ne yazık ki çok iyi desteklenmiyor. OpenSSL, 5 ay önce yayınlanan 0.9.8j'ye kadar varsayılan olarak etkinleştirmez. Windows XP'de IE bunu desteklemez, ancak Vista'da destekler. Ve IIS bunu hiç desteklemiyor. XP'deki tüm kullanıcılarınız kaybolana ve barındırma sağlayıcınız sunucularını yükseltinceye kadar, bu konuda yapabileceğiniz çok şey yoktur.

Tek bir IP için birden fazla SSL sertifikası alamayacağınız doğrudur.

Ancak, domain1.example.org domain2.example.com vb. İçin geçerli bir sertifika almak teknik olarak mümkündür ...

İşte bir örnek.

Ana makineniz Özel IP'lere izin vermiyor mu? Paylaşılan barındırma, ancak özel IP'ler ile bir plan satın almanıza izin veren bir ana bilgisayar bulabilmeniz gerekir. Bunu şu anda örneğin Sunucu Intellect www.serverintellect.com ile yapıyoruz . Temel olarak, ihtiyaç duyduğumuz her özel IP için bize ayrı bir küçük ücret talep ediyorlar.

IP takma adını kullanarak tek, ancak özel bir ana bilgisayara birden fazla SSL sertifikası başarıyla dağıttım. Bunun paylaşılan bir barındırma planında nasıl kullanılabileceği veya kullanılması gerektiği konusunda cevap veremiyorum. IBM Developerworks'teki bu makaleyi çok bilgilendirici buldum .