【问题标题】:Single SSL for multiple domains多个域的单一 SSL
【发布时间】:2011-09-14 07:26:44
【问题描述】:

我在 IIS 中有一个带有空白主机标头的站点和 50 多个 unqiue 域,它们都指向这个站点。是否有可以在网站上安装的通用或通配符 SSL,以便它适用于每个域?我知道存在通配符证书,但我认为它们仅限于单个 TLD。

我希望在一个站点上安装多个证书,因为每个域都已经购买了一个证书,但这不会发生。

我查看了IIS 7 SSL for multiple sites with a single IP,它指向http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html,它说我需要统一通信证书http://www.sslshopper.com/unified-communications-uc-ssl-certificates.html

有什么想法吗?统一的证书会起作用吗?

IIS 7.5

【问题讨论】:

    标签: iis ssl iis-7.5


    【解决方案1】:

    通配符 SSL 证书适用于单个域。对于您的情况,您必须拥有一个适用于每个域的证书,错误地,这不是那么安全,例如,您可以欺骗 hotmail.com

    然而在 X509 中有一个属性称为主题备用名称 (SAN)。这允许使用证书的域的固定列表,但该列表在颁发时是固定的。您的链接说它使用该方法,但我很困惑为什么他们说它们主要用于 UC 服务器,它们作为普通的旧 HTTPS 证书工作正常。我现在正在开发盒上使用一个。

    如果您认为他们是专业的 Verisign 也可以这样做,Entrust 也是如此

    【讨论】:

    • 是的,我们正在寻找委托,但很可能会选择威瑞信。我们联系了我们的主机并与他们交谈,他们确认我们需要统一通信证书(或 Verisign 所称的 SAN 证书)。谢谢。
    【解决方案2】:

    原则上,每个服务器(意思是服务器端的任何程序都响应客户端的请求can send only one certificate。它还将向根证书发送证书链。

    使用普通的 SSL/TLS,握手是在客户端有机会指示它想要一个页面的域之前完成的(这是在 HTTP 标头中完成的),因此您没有机会在这里提供正确的证书。

    一个常见的解决方案是服务器有多个 IP 地址(每个域一个,或者每个 SSL 证书至少一个),因此可以通过 IP 地址识别应该使用哪个证书。 (不过,我不知道 IIS 是如何处理这个问题的。)

    随着 IPv4 地址的日益稀缺,分配新的 IP 地址变得更加困难,出于这个和其他原因RFC 6066(及其前身)定义了 服务器名称 TSL 扩展(扩展 ID 0 ),它允许客户端在 ClientHello 消息(开始握手)中包含想要的服务器名称,从而允许服务器选择正确的证书。

    没有严肃的认证机构会为您提供*.com 或类似的通配符证书,因为有了这样的证书,您几乎可以伪装成任何人。一个证书可以列出多个域名,但我不知道这些域名的数量是否有上限(对于 IIS 和普通客户端)。

    【讨论】:

    • 威瑞信:使用单个证书保护多达 100 个域
    • JFYI:TLS 1.1 具有传递相关域名的机制,因此服务器可以在 HTTP 请求之前提供适当的证书。
    • @Eugene:啊,谢谢。看来我必须再仔细阅读规范了。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2015-06-21
    • 2011-11-25
    • 2019-03-13
    • 2017-01-19
    • 1970-01-01
    • 2020-07-03
    • 1970-01-01
    相关资源
    最近更新 更多