Назад | Перейти на главную страницу

Поддерживает ли Azure сертификаты SSL UCC / SAN?

У меня есть веб-приложение Azure, с которым связано 15 доменных имен (т.е. все имена доменов соответствуют одному и тому же приложению).

Мне нужно предоставить SSL для всех 15 доменов, указывающих на одно и то же веб-приложение.

Мои наблюдения на данный момент:

Учитывая мои требования:

... мне кажется, что единственный разумный вариант - это сертификат UCC / SAN SSL, правильно?

Если это так, то при попытке приобрести «Сертификат службы приложений» через Azure я получаю следующее информационное окно, из которого следует, что сертификаты UCC не подходят (по крайней мере, для покупки):

У меня вопрос:

a.) Учитывая мои требования, является ли мой план использования сертификата SAN подходящим курсом?

б.) Поддерживает ли Azure даже сертификаты UCC / SAN для подобного сценария? Я не хочу покупать сертификат только для того, чтобы узнать, что я не могу использовать его так, как я собираюсь.

Заранее спасибо!

Azure поддерживает SSL-сертификат UCC / SAN. Но, согласно вашему изображению, вы пытались приобрести ssl-сертификат этого типа через Azure «Сертификат службы приложений», поэтому вам не удалось найти в нем вариант сертификата UCC / SAN. Поэтому приобретайте его у проверенного поставщика SSL.

Если все ваши 15 доменов являются поддоменами первого уровня основного домена, вы также можете защитить их с помощью ssl-сертификата с подстановочными знаками. Но если это несколько доменов, таких как abc.com, app.abc.net, login.xyz.biz, signup.abc.org, тогда SAN SSL - лучший вариант.

Согласно вашим требованиям:

Если вы получили приличную прибыль от старых браузеров Windows XP / IE, не переходите на SNI. Но SNI полностью игнорирует не веб-браузер IE, а некоторые его версии. Подробнее на SNI поддерживает какой браузер и сервер.

По вашим вопросам:

  1. Выберите сертификат UCC / SAN SSL, который поддерживает Microsoft Azure.
  2. Если вы не хотите использовать SNI, выберите другой IP-адрес для каждого домена, который также действителен, но вПривязки SSL'необходимо выбрать тип SSL как' SSL на основе IP '.

Да, все 15 ваших веб-приложений могут быть защищены в Службе приложений Azure, настроив привязку сертификата SSL. SAN SSL - идеальное решение для защиты всех приложений с помощью одного сертификата. Служба приложений Azure охватывает пользовательские домены и соответствует указанным значениям subjectAltName.

Чтобы защитить все веб-приложения с помощью одного IP-адреса, важно выбрать тип SSL «SNI SSL» в параметре привязки SSL. В противном случае вам необходимо приобрести разные IP-адреса для каждого веб-приложения и выбрать вариант «SSL на основе IP».

* IP based SSL associates a certificate with a domain name by mapping the dedicated public IP address of the server to the domain name. This requires each domain name (contoso.com, fabricam.com, etc.) associated with your service to have a dedicated IP address. This is the traditional method of associating SSL certificates with a web server.
* SNI based SSL is an extension to SSL and **[Transport Layer Security](http://en.wikipedia.org/wiki/Transport_Layer_Security)** (TLS) that allows multiple domains to share the same IP address, with separate security certificates for each domain. Most modern browsers (including Internet Explorer, Chrome, Firefox and Opera) support SNI, however older browsers may not support SNI. For more information on SNI, see the **[Server Name Indication](http://en.wikipedia.org/wiki/Server_Name_Indication)** article on Wikipedia.

Microsoft предлагает использовать сертификат, подписанный CA, потому что самозаверяющие сертификаты не доверяют браузеру. В соответствии с вашими требованиями вы можете использовать Comodo Multi Domain SSL по более низким ценам.

Источник:

  1. https://www.ssl2buy.com/wiki/server-name-indication-sni-use-multiple-ssl-on-a-single-ip
  2. https://docs.microsoft.com/en-us/azure/app-service-web/web-sites-configure-ssl-certificate#bkmk_subjectaltname

Да, сертификат SSL UCC / SAN будет поддерживаться в Microsoft Azure.

После покупки сертификата вам просто нужно включить функцию SNI. Он будет охватывать все ваши 15 доменов.

Сертификаты SSL, которые будут работать (предложено Microsoft)

  • Comodo UCC SSL
  • Comodo Многодоменный SSL
  • GeoTrust True BusinessID Многодоменный SSL
  • SSL-сертификат веб-сервера Thawte