Benzersiz IP adresi SSL için şart mıdır?


23

Paylaşılan hosting şirketi bana bir IP adresi alırsam, addon domainleri için de geçerli olacağını söyledi. Bunun anlamı ne? Öyleyse, SSL sertifikası çalışmaz çünkü bir IP'de 2'den fazla etki alanı vardır (eğer bir addon etki alanı eklersem)? SSL sertifikası iki farklı alanın bulunduğu bir IP ile çalışıyorsa, neden paylaşılan bir ana bilgisayarda çalışmıyor?


Hayır, gerekli değil. Paylaşılan IP'lerde SSL sertifikalarına izin veren birçok barındırma sağlayıcısı vardır.
William Edwards,

Yanıtlar:


13

NOT: Bu cevap yazıldığı ve kabul edildiği tarihte doğru olmasına rağmen, artık doğru değildir. Burada, IP adresi başına birden fazla SSL sertifikası veren SNI adresinin başka cevapları vardır.


Evet, SSL sertifikanız için özel bir IP adresine ihtiyacınız var. Aşağıdaki makale tam olarak nedenini açıklıyor:

Ana Bilgisayar Başlığı olan Sitelerde SSL sertifikaları

Anahtar paragraf:

Bu bir tavuk ve yumurta problemidir: Ana bilgisayar adı, müşterinin gönderdiği SSL bloğunda şifrelenir. Ana bilgisayar adı, bağlayıcının bir parçası olduğundan, doğru sertifikayı aramak için ana bilgisayar adı gerekir. Ana bilgisayar adı olmadan, bağlama doğru olmadığından IIS doğru siteye bakamaz. Sertifika olmadan IIS, ana bilgisayar adını içeren SSL bloğunun şifresini çözemez. Oyun bitti - daireler çiziyoruz.

SSL sertifikalarını paylaşılan bir IP adresinde ana bilgisayar başlıklarıyla kullanmanın bir yolu vardır, ancak yine de ilk IP adresini almanız gerekir:

Ancak aynı IP’de iki farklı siteye ihtiyaç duymanızın bir yolu var: Port. Bunu, hem ortak adları hem de sitev1.mysite.com ve sitev2.mysitem.com adreslerini içeren bir sertifika alarak gerçekleştirebilirsiniz. Sertifika Yetkilileri genellikle bir sertifikada "ortak adlar" olarak adlandırılan birden fazla kişiye izin verir. Sertifikayı iki siteden birine bağlayarak, artık sertifika hatası almayacaksınız. Sertifikadaki isimlerden biri eşleşirse müşteri memnun olur.

Ev sahibiniz "o zaman addon domainleri için de geçerli olacak" dediğinde . , ne anlama geldiklerini kullanabilirsiniz:

  • bir joker karakter SSL örneğin * .example.com, daha sonra example.com'da bir ana bilgisayar olan birden fazla site IP adresini paylaşabilir; örneğin, www.example.com, webmail.example.com vb.

  • Aynı SSL kullanılarak birden fazla alanın güvence altına alınmasına izin veren bir Konu Alternatif Adları SSL, örneğin: http://www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/


4
@ilhan bu cevap artık doğru değil. Burada IP başına çoklu ssl cer'lerine izin veren SNI'ye hitap eden başka cevaplar var.
Mxx

Mevcut durumu yansıtmak için lütfen bu cevabı güncelleyin.
Lèse majesté

20

RFC 4366 (Sunucu Adı Gösterimi), SSL için sanal barınağa izin verir ve günümüzde oldukça eski ve iyi desteklenmektedir

Ayrıntılı bir açıklama için http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI adresine bakın .


Şu anki SNI desteği ile ilgili herhangi bir veri var mı?
Deebster

3
Bu wiki makalesinde Sunucu Adı Gösterme desteği için daha fazla uyumluluk bilgisi bulunmaktadır: en.wikipedia.org/wiki/Server_Name_Indication
James McCormack


2

Tek bir sunucu için çalışanlar, tüm bir sunucu alanı için kullanılabilecekler ('joker karakter' sertifikaları adı verilenler) ve birden çok alanda çalışanlar dahil olmak üzere birkaç çeşit sunucu SSL sertifikası vardır.

Hangi sertifikayı satın alacağınıza çok dikkat edin, zira ölçeklemenizi sınırlayacaktır.

FYI: Sertifika yetkilileri (sertifika veren şirketler), alan genelinde ya da çok alanlı sertifikaları gelir kaybı olarak gördükleri için düzenlemeyi sevmezler. (5x dolara 5 cer verebilirken neden tüm etki alanı için 1 $ x ödemeniz gerekir?) Ancak temalı bastığınızda, genellikle bir etki alanı sertifikası vermelerini sağlayabilirsiniz.


2

Birden çok SSL etkin web sitesini tek bir sunucuda barındırmak, genellikle site başına tek IP adresine ihtiyaç duyar, ancak SAN SSL Sertifikası bu zorluğu çözebilir. MS IIS 6 ve Apache, SAN sertifikaları olarak da bilinen UC Sertifikası kullanılarak Sanal Konak HTTPS sitelerine erişebilir.

Bir SAN sertifikası kullanmak, Exchange 2007 sunucunuzda birden fazla IP adresi yapılandırma , her IP adresini farklı bir sertifikaya bağlama ve hepsini bir araya getirmek için çok sayıda düşük seviye Power Shell komutu çalıştırma konusunda size zaman kazandırır.

Sunucunuza birden fazla IP adresi koymak ve her birine farklı bir sertifika atamaktan zahmetsiz ve sorunsuz.


1

Bu, sizin tarafınızdan barındırılan tüm alan adlarının IP'nizi atayacağı anlamına gelir. Ancak, ana bilgisayarı yalnızca belirli etki alanı için IP ayarlamak için kısıtlayabilirsiniz. SSL sertifikası etki alanına uygulandı ancak etki alanı özel IP’de olmalıdır. Bazı SSL sertifikaları, geotrust multidomain ev gibi birden fazla alanı da güvence altına alabilir. Paylaşılan barındırmada, aynı barındırmada birden fazla etki alanı vardır, böylece IP'niz başka bir müşterinin etki alanını da barındırır. Bu yüzden işe yaramayacağının sebebi güvenli değil.


Cevapta soruyu alıntılamaya gerek yoktur.
ChrisF
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.