共享托管公司告诉我,如果我购买IP地址,那么它也将适用于附加域。这是什么意思?那么SSL证书将无法使用,因为一个IP中将有两个以上的域(如果我添加了一个插件域)?如果SSL证书与托管两个不同域的一个IP一起使用,那么为什么它在共享主机上不起作用?
共享托管公司告诉我,如果我购买IP地址,那么它也将适用于附加域。这是什么意思?那么SSL证书将无法使用,因为一个IP中将有两个以上的域(如果我添加了一个插件域)?如果SSL证书与托管两个不同域的一个IP一起使用,那么为什么它在共享主机上不起作用?
Answers:
注意:尽管此答案在撰写和接受时是准确的,但不再正确。这里还有其他答案,即地址SNI,该SNI允许每个IP地址使用多个SSL证书。
是的,您需要SSL证书的专用IP地址。以下文章确切说明了原因:
关键段落是:
这是一个麻烦的问题:主机名在客户端发送的SSL Blob中进行了加密。因为主机名是绑定的一部分,所以IIS需要主机名来查找正确的证书。如果没有主机名,则IIS无法查找正确的站点,因为绑定不完整。没有证书,IIS无法解密包含主机名的SSL Blob。游戏结束-我们转圈了。
有一种方法可以将SSL证书与共享IP地址上的主机头一起使用,但是您仍然需要获取第一个IP地址:
但是,如果您在同一IP:Port上需要两个不同的站点,则有一种方法。您可以通过获取包含两个通用名称的证书(即sitev1.mysite.com和sitev2.mysitem.com)来完成此操作。证书颁发机构通常允许证书中包含多个所谓的“通用名称”。通过将证书绑定到两个站点之一,您将不会再收到证书错误。如果证书中的名称之一匹配,则客户端会感到满意。
当您的托管服务商说“然后,它也将适用于插件域”。,它们的意思是您可以使用:
通配符SSL(例如* .example.com),则example.com中作为主机的多个站点可以共享IP地址,例如www.example.com,webmail.example.com等。
主题备用名称SSL,它允许使用同一SSL保护多个域,例如:http : //www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/
RFC 4366(服务器名称指示)允许用于SSL的虚拟托管,并且它已经很老了,并且现在得到了很好的支持
有关详细说明,请参见http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI。
服务器SSL证书有几种,包括可用于单个服务器的证书,可用于整个服务器域的证书(所谓的“通配符”证书)以及可在多个域中工作的证书。
请务必谨慎购买哪种证书,因为它将限制扩展方式。
仅供参考:证书颁发机构(颁发证书的公司)不喜欢颁发域范围或多域证书,因为它们将其视为收入损失。(为什么当您可以以$ 5x发行5个证书时,为什么要以$ x的价格为整个域发行1个证书?)但是,如果按它们,通常可以让他们向您发行整个域的证书。
在单个服务器上托管多个启用SSL的网站通常每个站点需要一个IP地址,但是SAN SSL证书可以解决此难题。MS IIS 6和Apache都能够使用UC证书(也称为SAN证书)来虚拟主机HTTPS站点。
使用SAN证书可以节省在Exchange 2007服务器上配置多个IP地址,将每个IP地址绑定到另一个证书以及运行许多低级Power Shell命令来将它们拼凑在一起的麻烦和时间。
与在服务器上放置多个IP地址并为每个IP地址分配不同的证书相比,维护起来不费吹灰之力。
这意味着您托管的所有域都将分配您的IP。但是您可以限制主机以仅为特定域设置IP。受保护的SSL证书适用于域,但域应位于专用IP上。某些SSL证书也可以保护多个域,例如geotrust multidomain ev。在共享主机上,同一主机上有多个域,因此您的IP也托管其他客户端的域。因此,这并不安全,这就是为什么它不起作用。