Назад | Перейти на главную страницу

SSL-сертификат привязан к псевдониму. Так можно ли использовать один и тот же сертификат для нескольких псевдонимов на одном сервере?

Вот мой первый вопрос: SSL на IIS и Tomcat, работающих на одном сервере и получил ответ. Спасибо.

Я занимаюсь переносом наших веб-приложений с двух серверов на один. Доступ к этим веб-приложениям сейчас осуществляется через 3 разных псевдонима.

В конце концов, после миграции я перенесу 3 псевдонима на этот 1 сервер.

Веб-приложения работают в IIS (порт по умолчанию) и Apache Tomcat 7.x (порт 8080).

Пока все хорошо. Я хочу ввести SSL. Поэтому я подал заявку на сертификат у менеджера по сертификации нашей компании, и в приложении я указал имя в качестве псевдонима, а не имя сервера.

Мой вопрос здесь: Могу ли я использовать один и тот же сертификат в IIS и Tomcat, даже если он запрошен с псевдонимом «A», или мне нужно применить несколько сертификатов для каждого псевдонима?

Это зависит от того, как настроена ваша система.

Если вы запрашиваете услугу на b.example.com но ваш сертификат распространяется только на a.example.com тогда технически служба будет работать, но только после выдачи ошибки сертификата. Эта ошибка сертификата связана с тем, что ваше имя хоста не соответствует тому, что отправляет сертификат. Пользователь увидит большое страшное сообщение об ошибке.

Здесь есть три основных обходных пути:

  1. Получите сертификат, который покрывает ваши три псевдонима, скажем a.example.com, b.example.com, c.example.com (они называются сертификатами SAN, где SAN означает альтернативное имя субъекта). Таким образом, один сертификат действителен для всех трех услуг.
  2. Получите три индивидуальных сертификата. Это может быть дешевле, чем получение сертификата SAN, потому что иногда провайдеры SSL предпочитают взимать определенную сумму за сертификат SAN (потому что они могут)
    • Если все ваши пользователи используют современные веб-браузеры и устройства, и ваш веб-сервер поддерживает это, вы можете использовать SNI (указание имени сервера) и поместить все три сертификата на один IP-адрес.
    • Если ваши пользователи используют старые браузеры или устройства, или ваш веб-сервер не поддерживает SNI, вам нужно будет назначить три IP-адреса своему ящику и привязать каждый сертификат к одному IP-адресу.
  3. Получите групповой сертификат для *.example.com. Иногда это дешевле и проще, чем получить SAN или несколько отдельных сертификатов. Но он не поддерживает покрытие, скажем, a.example.com и a.example.org и foo.a.example.com поскольку подстановочный знак подходит только для одного уровня в одном домене (если вы не объедините SAN с подстановочными знаками, но это очень быстро становится очень дорогим).

После того, как вы пойдете по своему маршруту, вы можете использовать этот сертификат несколько раз, если сохраните свой закрытый ключ. Просто установите закрытый ключ и сертификаты на обоих ваших веб-серверах, чтобы продолжать обслуживать один и тот же сертификат из обоих ящиков во время миграции.