Назад | Перейти на главную страницу

SSL-сертификат без подстановочных знаков и поддомены

Я хочу защитить форму входа в мое приложение для блога с помощью SSL-сертификата, и я также хотел бы настроить некоторые поддомены для таких вещей, как Мята пакет веб-статистики. Возможно ли это даже с использованием сертификата без подстановочного знака, например GoDaddy "Turbo", который стоит около 20 долларов? Я действительно не хочу раскошелиться на стоимость подстановочного сертификата.

Чтобы было ясно, единственное место, где я хочу использовать SSL, - это внутри основного приложения блога, а не на любом из поддоменов. Я думаю, что где-то читал, что вы не можете этого сделать, потому что, если вы используете SSL, виртуальные хосты Apache должны быть настроены для использования IP-адресов. Хотелось бы получить по этому поводу окончательный ответ.

Спасибо.

Основное ограничение заключается в том, что с одним IP-адресом у вас может быть один сертификат ssl.

Поскольку вам нужен только ssl в блоге, тогда нет проблем с настройкой, которую вы предложили, просто сделайте его единственным виртуальным хостом, который прослушивает 443

# Virtualhosts on ports 80 and 443
NameVirtualHost *:80
NameVirtualHost *:443

# rewrite blog traffic to https
<VirtualHost *:80>
        ServerName blog.example.com
        DocumentRoot /var/www/blog
        RewriteEngine On 
        RewriteRule ^(.*)$ https://blog.example.com/$1 [R,L]
</VirtualHost>

<VirtualHost *:443>
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/server.crt
        SSLCertificateKeyFile /etc/apache2/ssl/server.key    
        ServerName blog.example.com
        DocumentRoot /var/www/blog
</VirtualHost>

<VirtualHost *:80>
        ServerName othersite.example.com
        DocumentRoot /var/www/other/
</VirtualHost>

Небольшое ограничение здесь заключается в том, что блог будет перехватывать весь https-трафик, независимо от имени хоста, поэтому https://othersite.example.com будет указывать на блог и генерировать ошибки, потому что имя не соответствует сертификату, но с одним IP-адресом этого не избежать.

В прошлый раз, когда я настраивал клиента с SSL, мы выбрали Сертификат унифицированных коммуникаций DigiCert. Им нужны были серверы Exchange и Sharepoint, подключенные к сети с SSL, которые работали на двух серверах. Таким образом, мы смогли зарегистрировать каждый сервер как с внешним, так и с внутренним именем. Что мне понравилось в DigiCert UCC, так это то, что мы могли быстро и легко вносить изменения в сертификат (т. Е. Добавлять в сертификат больше имен).