Назад | Перейти на главную страницу

Отдельный сертификат SSL для каждого веб-приложения на сервере приложений Java на одном IP-адресе

У нас есть производственный сервер Apache Tomcat, на котором обслуживаются некоторые веб-сайты. Сайты начали запрашивать действующие сертификаты SSL. У нас есть некоторые ограничения на количество действующих IP-адресов на нашем сервере. С другой стороны, мы читали об индикации имени сервера (SNI) в последних версиях SSL, которая, по-видимому, поддерживается всеми основными веб-браузерами и позволяет нам иметь несколько сайтов с поддержкой SSL на одном IP-адресе.

Проблема в том, что ни Apache Tomcat не поддерживает SNI в его стабильной версии, ни такой крупный коммерческий сервер, как WebLogic.

В конце концов, можно ли считать SNI зрелым решением этой проблемы?

Спасибо.

SNI - это определенно правильный путь, и он очень зрелый. Однако использование SSL непосредственно в Tomcat обычно не рекомендуется. Проблема в том, что библиотеки Tomcat SSL обычно устарели и неполны. Типичный способ использования SSL с сайтом Tomcat - это проксирование контента через другую программу (httpd, HAProxy, Pound и т. Д.), Которая может добавить SSL к запросу между клиентом и прокси. Если вы выполняете проксирование на том же сервере, на котором запущен Tomcat, в сети не будет обычного текстового трафика (т. Е. Это не проблема безопасности). Я не уверен насчет HAProxy и Pound, но знаю, что httpd имеет хорошую встроенную поддержку SNI.