单个SSL证书,多个站点?

时间:2009-07-23 04:43:52

标签: security authentication ssl login

我问这是另一个问题的一部分,但感觉它应该有它自己:

使用共享主机方案,是否有任何方法可以使用单个SSL证书保护多个域(假设主机允许多个域在单个计划下)?我知道私有SSL证书需要专用的IP,但我正在寻找解决办法(我宁愿不注册额外/更好的计划以保持成本便宜而且我真的不想外包认证......与OpenID一起使用)。有什么想法吗?

(我不认为通配符证书是一种选择,因为它们非常昂贵......)

3 个答案:

答案 0 :(得分:7)

基本上不,不是在共享主机方案中。

当您有多个共享IP的网站时,服务器知道Host标头要路由到哪个站点。 SSL加密整个请求和响应,包括主机头 - 并且Web服务器在尝试路由之前不知道用于破解消息的SSL证书 - 这就是SSL站点必须具有专用IP地址的原因。 / p>

答案 1 :(得分:3)

就像我在您的其他问题中提到的那样,只需要求您的主机为每个需要SSL的域提供专用IP。这是一个相当基本的要求。如果他们不能那样做,那么也许是时候去购买不同的主人了,因为看起来你已经超出了你的主人可以为你提供的东西了。

答案 2 :(得分:1)

至于成本:证书是否花费你任何东西取决于你使用的是自签名证书,还是来自免费CA的证书,还是来自昂贵的CA的证书。当然,对于自签名或免费CA,您的用户必须确认他们信任Web浏览器中的CA.请查看CACert以获得廉价证书。

关于您的原始问题:RFC 3280建议的方法是将所有主机名填充到subjectAltName扩展名中,请参阅RFC的4.2.1.7节。 CA是否愿意向您发放填写了该扩展名的证书取决于CA.