Назад | Перейти на главную страницу

Несколько доменных имен для веб-сайтов IIS с SSL

Во-первых, это не вопрос поддоменов, заголовков хостов и SSL.

Я хочу знать, могу ли я создать запрос на сертификат или найти поставщика сертификатов, который выдаст сертификат с несколькими CN (общие имена), чтобы обеспечить безопасный доступ к https://www.abcde.com -или- https://www.qwert.com браузеру не кажется, что он не соответствует CN в сертификате SSL?

ЗАДНИЙ ПЛАН

У нас есть приложение для электронной коммерции, которое запускает под URL-адресом http://www.abcde.com. Приложение также имеет защищенную часть, доступ к которой осуществляется как https://www.abcde.com. Это очень обычная настройка, за исключением использования подстановочного сертификата SSL (* .abcde.com), поскольку субдомен может различаться в зависимости от использования этого приложения в бизнесе. Это изменение поддомена / доменного имени приложения связано с настройкой его внешнего вида и процента сокращения транзакций для выбранных наших партнеров.

Теперь у нас есть желаемое бизнес-использование того же приложения, где к нему можно получить доступ через URL-адрес. http://www.qwert.com, и, конечно же, иметь доступ к защищенной части как https://www.qwert.com.

Это создает проблему, потому что мой сертификат выдан для * .abcde.com. В соответствии с Кен Шефер, можно создать CSR с несколькими CN.

Вы слышали о нескольких CN в сертификате? Вы знаете, как создать для этого CSR? И выполнит ли такой запрос какой-либо поставщик сертификатов?

В конечном счете, политика центра сертификации решает, какие поля использовать из вашего CSR. Многие берут CN. Или один из них.

Обычно несколько доменов добавляются к одному сертификату под subjectAlternativeName заголовки, а не общее имя. CACert позволяет отправлять CSR со многими SAN.

Почему другие нет? Им нужны ваши деньги. Итак, Microsoft и как минимум три CA изобрели новый способ получать ваши деньги повторное использование использование существующих технологий с новыми правилами. Это сертификаты UC, связанные с IceMage.

Вам следует проверить что-то, что называется сертификатами унифицированных коммуникаций.

Взгляд сюда может помочь вам начать путь, по которому вы хотите идти: http://rrr.thetruth.de/2008/04/openssl-certificates-with-multiple-domains-common-names/

Одним словом, нет ...

Когда я читал ваш вопрос, моей первоначальной мыслью было «SSL-сертификаты с подстановочными знаками», но это не то, что вы пытаетесь сделать ... вы пытаетесь использовать НЕСКОЛЬКО ДОМЕНОВ под одним и тем же SSL.

В настоящее время я не знаю ни одного поставщика SSL, который бы занимался подобными вещами. Возможно, вам удастся обойтись без самозаверяющих сертификатов ... но тогда ваш браузер начнет жаловаться ... так что это бесполезно.

Я думаю, что ваш лучший / единственный реальный вариант здесь - иметь отдельный сертификат SSL для каждого уникального доменного имени, но это создает другую проблему.

Для каждого сертификата SSL потребуется отдельный IP-адрес (при условии, что вы хотите использовать для них порт по умолчанию).

В зависимости от того, о скольких доменах мы говорим ... Я думаю, у вас есть два варианта:

  1. Зарегистрируйте новый сертификат SSL для каждого домена, который вы хотите поддерживать, и соответствующим образом настройте свой веб-сервер. (т.е. виртуальные домены)

  2. Зарегистрируйте общий домен, такой как secure-ssl-server.com, и купите единый сертификат с подстановочными знаками, а затем назовите свои поддомены соответствующим образом. (например, abcde.secure-ssl-server.com, qwert.secure-ssl-server.com, wxyz.secure-ssl-server.com и т. д.)

Лично, если вам это сойдет с рук, я бы предпочел вариант № 2, так как его СПОСОБ проще поддерживать единый сертификат с подстановочными знаками, чем возиться с множеством нескольких сертификатов.

Надеюсь это поможет.