Я хочу применить сертификат к одному из моих сайтов в IIS. На данный момент я использую один IP-адрес и использую заголовки хостов, чтобы дать им понятные имена. Могу ли я сделать это для своего SSL-сайта или мне нужно будет использовать имя сервера?
Строго говоря, вам не нужно использовать подстановочный сертификат (и многие центры сертификации отказались бы его выдать), вы можете использовать сертификат со всеми понятными именами хостов, перечисленными в расширении subjectAltName сертификата. Таким образом, вы можете использовать один сертификат для всех имен ваших хостов и избежать подстановочных сертификатов. Тем не мение, HTTPS RFC рекомендует проверять имя хоста на соответствие subjectAltName, если оно присутствует, а не к теме сертификата.
Хотя использование общего имени является существующей практикой, оно не рекомендуется, и центрам сертификации рекомендуется использовать вместо него dNSName.
Если каждое имя хоста является поддоменом одного базового домена (mail.domain1.com, www.domain1.com), вы можете использовать групповой сертификат с заголовками хостов SSL. Если они разные (domain1.com и domain2.com), вы можете использовать сертификат Unified Communications. Видеть http://www.sslshopper.com/article-how-to-configure-ssl-host-headers-in-iis-6.html чтобы узнать, как настроить заголовки хоста SSL в IIS.
Да, вы можете использовать виртуальный хостинг на основе имени, но с некоторыми довольно сильные оговорки
Если вы хотите использовать передовые технологии и не заботитесь о поддержке старых браузеров, вы можете использовать указание имени сервера (SNI) (если оно поддерживается вашим веб-сервером и клиентами). Это означает, что клиент проинформирует сервер (когда он впервые начнет говорить о SSL), с каким именем, по его мнению, ему следует разговаривать.
Если ваш список сайтов не сильно меняется, и вы не можете позволить себе полагаться на SNI, вы можете использовать сертификат SAN (Subject Alternate Name), который соответствует нескольким именам. Имена даже не имеют общего домена. (Взгляните на сертификат для https://google.com/ и вы увидите много перечисленных имен)
Если вы хотите иметь много имен (возможно, динамически сгенерированных), тогда используйте групповой сертификат («* .example.com», который будет соответствовать чему-либо в * .example.com). Однако у этого есть ограничения.
В противном случае вам нужно иметь разные IP-адреса и создать подходящие привязки в конфигурации вашего веб-сервера, чтобы указать, что IP_x использует Certificate_x, который перебирает общедоступные адреса и на самом деле является последним средством.
Пока ваш сертификат имеет подстановочный знак в этом.