Назад | Перейти на главную страницу

Разрешить IP-адрес "многие-SSL-к-одному" для клиентских браузеров, не поддерживающих SNI

Ух ты, аббревиатуры :) Так по этот вопрос у вас может быть несколько поддоменов SSL на одном IP-адресе, если ваш сервер поддерживает TLS (что делает Apache 2.2x).

Другой ответ на этот вопрос указывает на то, что клиентский браузер должен иметь Поддержка SNI работать, чего нет в IE в Windows XP. Итак, то, что происходит с людьми с этим браузером, - это предупреждающее сообщение о том, что сертификат SSL не соответствует домену.

Можно ли решить эту проблему для клиентских браузеров без поддержки SNI? Подстановочный знак (для поддоменов) помогает? Есть ли другие (более дешевые) варианты?

Клиенты без поддержки SNI получат первый сертификат, загруженный Apache на этот порт.

Итак, да, подстановочный сертификат не будет полагаться на поддержку указания имени сервера клиента. Если все ваши ресурсы имеют общий родительский домен, это, вероятно, лучший вариант. Другой вариант (без общего родительского домена) - использовать сертификат, который предоставляет альтернативные имена субъектов.

Оба дорогие; Сертификат альтернативных имен немного дешевле (но ограничивает количество сайтов, которые вы можете охватить, и его необходимо перевыпустить при изменении этих сайтов).