Один SSL для нескольких доменов

Question

У меня есть один сайт в IIS с пустым заголовком узла и более 50 доменами, которые все указывают на этот сайт. Существует ли универсальный SSL или универсальный SSL, который я могу установить на сайте, чтобы он работал с каждым доменом? Я знаю, что существуют сертификаты подстановочных знаков, но я думаю, что они ограничены одним TLD.

Я надеялся установить несколько сертификатов на одном сайте, поскольку каждый домен уже приобрел сертификат, но этого не произойдет.

Я посмотрел на IIS 7 SSL для нескольких сайтов с одним IP , который указывает на http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html, который говорит, что мне нужен сертификат унифицированных коммуникаций http://www.sslshopper.com/unified-communications-uc-ssl-certificates.html

Есть идеи? Будет ли работать единый сертификат?

IIS 7,5

Answer 1

Сертификаты Wildcard SSL предназначены для одного домена.В вашей ситуации вам понадобится сертификат, работающий для каждого домена, который, к сожалению, не будет таким безопасным, вы можете, например, spoof hotmail.com

Однако в X509 есть атрибут, называемый альтернативным именем субъекта (SAN).Это позволяет фиксированный список доменов, для которых сертификат может быть использован, но список фиксирован во время выдачи.Ваша ссылка говорит, что он использует этот метод, но я запутался, почему они говорят, что они в основном для UC-сервера, они отлично работают как обычные старые сертификаты HTTPS.Я использую один прямо сейчас в окне разработки.

Если вы считаете, что они специализированы Verisign , сделайте их тоже, как и Entrust

Answer 2

В принципе, каждый сервер (то есть независимо от того, какая программа на стороне сервера отвечает на запрос клиента ) может отправлять только один сертификат . Он также отправит цепочку сертификатов до корневого сертификата.

При использовании простого SSL / TLS рукопожатие выполняется до того, как у клиента появится возможность указать, для какого домена он хочет страницу (это делается в заголовке HTTP), поэтому у вас нет шансов предложить правильный сертификат.

Распространенным решением является то, что сервер имеет несколько IP-адресов (по одному для каждого домена или, по крайней мере, один для каждого SSL-сертификата) и, таким образом, может распознать по IP-адресу, какой сертификат следует использовать. (Хотя я не знаю, как IIS справляется с этим.)

Назначение новых IP-адресов становится более проблематичным из-за растущей недостаточности адресов IPv4, по этой и другим причинам RFC 6066 (и его предшественники) определяет имя сервера расширение TSL ( extension-ID 0), который позволяет клиенту включать требуемое имя сервера в сообщение ClientHello (которое запускает рукопожатие), позволяя серверу выбрать правильный сертификат для.

Ни одно серьезное сертификационное агентство не выдаст вам сертификат подстановочного знака для *.com или аналогичный, поскольку с таким сертификатом вы можете претендовать почти на любого. Сертификат может содержать несколько доменных имен, но я понятия не имею, существует ли верхний предел их количества (как для IIS, так и для обычных клиентов).