Веб-роль Azure - несколько сертификатов ssl, указывающих на одну конечную точку

Question

Есть ли способ, с помощью которого несколько сертификатов ssl могут указывать на одну точку входа в определении службы?Например, предположим, у меня есть два URL.

service.foo.net / Service.svc

service.doo.net / Service.svc

Я хочу обаэти адреса для разрешения моей службы Windows Azure, но я не уверен, как настроить это в определении службы.

<Certificates>
   <Certificate name="service.foo.net" storeLocation="LocalMachine" storeName="My" />
   <Certificate name="service.doo.net" storeLocation="LocalMachine" storeName="My" />
  </Certificates>
  <Endpoints>
   <InputEndpoint name="HttpsIn" protocol="https" port="443" certificate="service.foo.net" />
  </Endpoints>

Согласно этой статье MSDN каждая конечная точка ввода должнаесть уникальный порт.Есть ли способ указать несколько раз сертификат для этой конечной точки?

Answer 1

К сожалению, это невозможно. Azure повторно выставляет ограничение SSL. Ограничение SSL интересно, и причина, по которой вы не можете использовать v-hosts поверх SSL. Давайте рассмотрим пример:

1. Вы подключаетесь к https://ig2600.blogspot.com
2. Это разрешает какой-то IP-адрес - скажем, 8.8.8.8
3. Ваш браузер теперь подключается к 8.8.8.8
4. 8.8.8.8 должен предварительно установить сертификат, прежде чем ваш браузер отправит какие-либо данные
5. браузер проверяет представленный сертификат для ig2600.blogspot.com
6. Вы отправляете http-запрос, содержащий ваше доменное имя.

Поскольку серверу необходимо предоставить сертификат до , вы указываете ему имя хоста, с которым хотите поговорить, сервер не может знать, какой сертификат использовать, если присутствует несколько, поэтому вы можете иметь только один сертификат.

Answer 2

Ответ «Оливер Бок» может работать для вас, и ответ «Игорь Дворкин» больше не действителен, поскольку IIS 8 с Windows Server 2012 поддерживает SNI, что позволяет вам добавлять «заголовок узла» к привязкам HTTPS и иметь несколько сертификатов SSL для разных доменов, прослушивающих один и тот же порт HTTPS.

Вам необходимо автоматизировать процесс установки сертификатов на машине и добавить привязки HTTPS в IIS.

Я - технический евангелист Microsoft, и я опубликовал подробное объяснение и пример исходного кода "plug & play" по адресу: http://www.vic.ms/microsoft/windows-azure/multiples-ssl-certificates-on-windows-azure-cloud-services/

Answer 3

В этом сообщении указано, что вам потребуется «многодоменный сертификат», который, как представляется, может соответствовать нескольким DNS-именам на шаге 5 ответа Игоря.Я не пробовал, но, вероятно, этот сертификат можно загрузить в Azure обычным способом .