У меня есть веб-приложение Azure, с которым связано 15 доменных имен (т.е. все имена доменов соответствуют одному и тому же приложению).
Мне нужно предоставить SSL для всех 15 доменов, указывающих на одно и то же веб-приложение.
Мои наблюдения на данный момент:
Обычная привязка SSL требует одного IP-адреса на домен, поэтому мне понадобится 15 IP-адресов для этого одного веб-приложения.
Веб-приложение Azure предоставляет только один IP-адрес для каждого веб-приложения, если я не приобрету дополнительные IP-адреса по цене 39 долларов США за каждый. Я хочу избежать покупки 15 дополнительных IP-адресов.
Я мог бы создать 15 веб-приложений в рамках одного плана службы приложений, но похоже, что все они используют один и тот же внешний IP-адрес, если они находятся в одном плане службы приложений, верно?
Новую схему привязки SNI можно использовать с одним IP-адресом в нескольких доменах, но она не поддерживается в старых браузерах, таких как IE на WinXP (более или менее единственное ограничение SNI, которое я обнаружил)
Я бы хотел избежать привязки SNI SSL, поскольку у нас есть приличный доход от пользователей Windows XP / IE, которые не могут поддерживать SNI.
Учитывая мои требования:
... мне кажется, что единственный разумный вариант - это сертификат UCC / SAN SSL, правильно?
Если это так, то при попытке приобрести «Сертификат службы приложений» через Azure я получаю следующее информационное окно, из которого следует, что сертификаты UCC не подходят (по крайней мере, для покупки):
У меня вопрос:
a.) Учитывая мои требования, является ли мой план использования сертификата SAN подходящим курсом?
б.) Поддерживает ли Azure даже сертификаты UCC / SAN для подобного сценария? Я не хочу покупать сертификат только для того, чтобы узнать, что я не могу использовать его так, как я собираюсь.
Заранее спасибо!
Azure поддерживает SSL-сертификат UCC / SAN. Но, согласно вашему изображению, вы пытались приобрести ssl-сертификат этого типа через Azure «Сертификат службы приложений», поэтому вам не удалось найти в нем вариант сертификата UCC / SAN. Поэтому приобретайте его у проверенного поставщика SSL.
Если все ваши 15 доменов являются поддоменами первого уровня основного домена, вы также можете защитить их с помощью ssl-сертификата с подстановочными знаками. Но если это несколько доменов, таких как abc.com, app.abc.net, login.xyz.biz, signup.abc.org, тогда SAN SSL - лучший вариант.
Согласно вашим требованиям:
Если вы получили приличную прибыль от старых браузеров Windows XP / IE, не переходите на SNI. Но SNI полностью игнорирует не веб-браузер IE, а некоторые его версии. Подробнее на SNI поддерживает какой браузер и сервер.
По вашим вопросам:
Да, все 15 ваших веб-приложений могут быть защищены в Службе приложений Azure, настроив привязку сертификата SSL. SAN SSL - идеальное решение для защиты всех приложений с помощью одного сертификата. Служба приложений Azure охватывает пользовательские домены и соответствует указанным значениям subjectAltName.
Чтобы защитить все веб-приложения с помощью одного IP-адреса, важно выбрать тип SSL «SNI SSL» в параметре привязки SSL. В противном случае вам необходимо приобрести разные IP-адреса для каждого веб-приложения и выбрать вариант «SSL на основе IP».
* IP based SSL associates a certificate with a domain name by mapping the dedicated public IP address of the server to the domain name. This requires each domain name (contoso.com, fabricam.com, etc.) associated with your service to have a dedicated IP address. This is the traditional method of associating SSL certificates with a web server.
* SNI based SSL is an extension to SSL and **[Transport Layer Security](http://en.wikipedia.org/wiki/Transport_Layer_Security)** (TLS) that allows multiple domains to share the same IP address, with separate security certificates for each domain. Most modern browsers (including Internet Explorer, Chrome, Firefox and Opera) support SNI, however older browsers may not support SNI. For more information on SNI, see the **[Server Name Indication](http://en.wikipedia.org/wiki/Server_Name_Indication)** article on Wikipedia.
Microsoft предлагает использовать сертификат, подписанный CA, потому что самозаверяющие сертификаты не доверяют браузеру. В соответствии с вашими требованиями вы можете использовать Comodo Multi Domain SSL по более низким ценам.
Источник:
Да, сертификат SSL UCC / SAN будет поддерживаться в Microsoft Azure.
После покупки сертификата вам просто нужно включить функцию SNI. Он будет охватывать все ваши 15 доменов.
Сертификаты SSL, которые будут работать (предложено Microsoft)