SSL是否必须有唯一的IP地址?


23

共享托管公司告诉我,如果我购买IP地址,那么它也将适用于附加域。这是什么意思?那么SSL证书将无法使用,因为一个IP中将有两个以上的域(如果我添加了一个插件域)?如果SSL证书与托管两个不同域的一个IP一起使用,那么为什么它在共享主机上不起作用?


不,不是必需的。有许多托管提供程序允许在共享IP上使用SSL证书。
威廉·爱德华兹

Answers:


13

注意:尽管此答案在撰写和接受时是准确的,但不再正确。这里还有其他答案,即地址SNI,该SNI允许每个IP地址使用多个SSL证书。


是的,您需要SSL证书的专用IP地址。以下文章确切说明了原因:

具有主机头的网站上的SSL证书

关键段落是:

这是一个麻烦的问题:主机名在客户端发送的SSL Blob中进行了加密。因为主机名是绑定的一部分,所以IIS需要主机名来查找正确的证书。如果没有主机名,则IIS无法查找正确的站点,因为绑定不完整。没有证书,IIS无法解密包含主机名的SSL Blob。游戏结束-我们转圈了。

有一种方法可以将SSL证书与共享IP地址上的主机头一起使用,但是您仍然需要获取第一个IP地址:

但是,如果您在同一IP:Port上需要两个不同的站点,则有一种方法。您可以通过获取包含两个通用名称的证书(即sitev1.mysite.com和sitev2.mysitem.com)来完成此操作。证书颁发机构通常允许证书中包含多个所谓的“通用名称”。通过将证书绑定到两个站点之一,您将不会再收到证书错误。如果证书中的名称之一匹配,则客户端会感到满意。

当您的托管服务商说“然后,它也将适用于插件域”。,它们的意思是您可以使用:


4
@ilhan这个答案不再准确。这里还有其他答案可以解决SNI,该SNI允许每个IP使用多个ssl证书。
Mxx

请更新此答案以反映当前情况。
冒犯君主



2

服务器SSL证书有几种,包括可用于单个服务器的证书,可用于整个服务器域的证书(所谓的“通配符”证书)以及可在多个域中工作的证书。

请务必谨慎购买哪种证书,因为它将限制扩展方式。

仅供参考:证书颁发机构(颁发证书的公司)不喜欢颁发域范围或多域证书,因为它们将其视为收入损失。(为什么当您可以以$ 5x发行5个证书时,为什么要以$ x的价格为整个域发行1个证书?)但是,如果按它们,通常可以让他们向您发行整个域的证书。


2

在单个服务器上托管多个启用SSL的网站通常每个站点需要一个IP地址,但是SAN SSL证书可以解决此难题。MS IIS 6和Apache都能够使用UC证书(也称为SAN证书)来虚拟主机HTTPS站点。

使用SAN证书可以节省在Exchange 2007服务器上配置多个IP地址,将每个IP地址绑定到另一个证书以及运行许多低级Power Shell命令来将它们拼凑在一起的麻烦和时间。

与在服务器上放置多个IP地址并为每个IP地址分配不同的证书相比,维护起来不费吹灰之力。


1

这意味着您托管的所有域都将分配您的IP。但是您可以限制主机以仅为特定域设置IP。受保护的SSL证书适用于域,但域应位于专用IP上。某些SSL证书也可以保护多个域,例如geotrust multidomain ev。在共享主机上,同一主机上有多个域,因此您的IP也托管其他客户端的域。因此,这并不安全,这就是为什么它不起作用。


无需在答案中引用问题。
ChrisF 2011年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.