几个域的ssl证书,一个IP

时间:2011-09-26 08:50:37

标签: ssl ip-address vhosts

AFAIK,SSL被分配到一个域名(可能是通过通配符的几个子域名)。

另一方面,我听说网络服务器在服务ssl之前没有看到域名?

如果我在一个IP地址上有多个域作为vhost运行:

Q1:网络服务器是否可以为网站提供相应的SSL?

Q2:有没有办法在一个IP上只有一个多域SSL服务两个域?

通过这个看似自相矛盾的引语来解释我的困惑:

  

为单个FQDN(完全合格)颁发常规SSL证书   域名)。使用证书的域必须拥有自己的域   从中提供的唯一外部IP地址。在实践中,这   意味着如果您在单个IP地址/服务器上有多个域,   那么你必须在每个域上安装一个单独的证书   我想保证安全。

     

原因是使用'Host-Headers'。他们允许一个   Web服务器使用单个IP地址来为许多单独的站点提供服务   具有不同的FQDN。他们通过识别传入的请求来做到这一点   对于网页,并相应地将其路由到正确的网站。

     

启动SSL连接时,服务器必须发送一个   证书到客户端 - 在它知道主机头之前   请求。它唯一识别的数据是请求的IP   地址。因此,一个IP地址上的两个或多个站点无法使用   不同的SSL证书......

1 个答案:

答案 0 :(得分:4)

Q1> Web服务器不需要知道SSL证书中嵌入的域。只有浏览器才会这样做,因为它确保证书中的域与地址栏中的域匹配。无论证书中包含哪个域,Web服务器都只提供绑定到IP地址的证书。

Q2>您描述的是SAN或UC证书。它们旨在执行您所声明的操作,即允许多个域在一个IP地址上共享一个证书。查看此link on Subject alternative names了解详情