Единый SSL для нескольких доменов

У меня есть единственный сайт в IIS с пустым заголовком хоста и 50+ уникальных доменов, которые все указывают на этот сайт. Есть ли универсальный SSL-сертификат или SSL-сертификат с подстановочными знаками, который я могу установить на сайте, чтобы он работал с каждым доменом? Я знаю, что существуют сертификаты с подстановочными знаками, но я думаю, что они ограничены одним TLD.

Я надеялся установить несколько сертификатов на одном сайте, поскольку для каждого домена уже куплен сертификат, но этого не произойдет.

Я просмотрел IIS 7 SSL для нескольких сайтов с один IP, который указывает на http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html, в котором говорится, что мне нужен сертификат унифицированных коммуникаций http://www.sslshopper.com/unified-communications-uc-ssl-Certificates.html

Любые идеи? Будет ли работать единый сертификат?

IIS 7.5


ssl iis iis-7.5
person Dustin Davis    schedule 13.06.2011    source источник

Ответы (2)


arrow_upward
5
arrow_downward

Сертификаты SSL с подстановочными знаками предназначены для одного домена. Для вашей ситуации вам понадобится сертификат, который работал бы для каждого домена, что, ошибочно, было бы не так безопасно, вы могли бы, например, подделать hotmail.com

Однако в X509 есть атрибут, называемый альтернативным именем субъекта (SAN). Это позволяет создать фиксированный список доменов, для которых можно использовать сертификат, но этот список фиксируется во время выдачи. В вашей ссылке говорится, что он использует этот метод, но я не понимаю, почему они говорят, что они в первую очередь для сервера UC, они отлично работают как простые старые сертификаты HTTPS. Я использую его прямо сейчас на коробке разработки.

Если вы думаете, что они специализированные, Verisign сделайте их тоже, как и Entrust

person blowdart    schedule 13.06.2011
comment
Да, мы думали о доверии, но, скорее всего, пойдем с Verisign. Мы связались с нашим хостом и поговорили с ними, и они подтвердили, что нам нужен сертификат Unified Comm Cert (или сертификат SAN, как его называет Verisign). Спасибо. - person Dustin Davis; 14.06.2011

arrow_upward
-1
arrow_downward

В принципе, каждый сервер (имеется в виду любая программа на стороне сервера, которая отвечает на запрос клиента) может отправлять только один сертификат. Он также отправит цепочку сертификатов до корневого сертификата.

При использовании простого SSL / TLS рукопожатие выполняется до того, как клиент сможет указать, для какого домена ему нужна страница (это делается в заголовке HTTP), поэтому здесь у вас нет возможности предложить правильный сертификат.

Распространенным решением является то, что сервер имеет несколько IP-адресов (по одному для каждого домена или хотя бы по одному для каждого SSL-сертификата) и, таким образом, может распознавать по IP-адресу, какой сертификат следует использовать. (Хотя я не знаю, как IIS с этим справляется.)

Назначение новых IP-адресов становится все более проблематичным из-за растущей редкости IPv4-адресов по этой и другим причинам RFC 6066 (и его предшественники) определяют расширение TSL server name (extension-ID 0), которое позволяет клиенту включать желаемое имя сервера в сообщение ClientHello (которое запускает рукопожатие ), позволяя серверу выбрать правильный сертификат для.

Ни одно серьезное сертификационное агентство не выдаст вам шаблонный сертификат для *.com или аналогичный, поскольку с таким сертификатом вы можете притвориться практически кем угодно. В сертификате может быть указано несколько доменных имен, но я понятия не имею, есть ли верхний предел их количества (как для IIS, так и для обычных клиентов).

person Paŭlo Ebermann    schedule 13.06.2011
comment
Verisign: защита до 100 доменов с помощью одного сертификата - person Dustin Davis; 14.06.2011
comment
JFYI: TLS 1.1 имеет механизмы для передачи рассматриваемого доменного имени, поэтому сервер может предоставить соответствующий сертификат перед HTTP-запросом. - person Eugene Mayevski 'Callback; 14.06.2011
comment
@ Евгений: Ах, спасибо. Похоже, мне нужно еще раз прочитать спецификацию, более внимательно. - person Paŭlo Ebermann; 14.06.2011