Недавно я связался со своим провайдером виртуального хостинга по поводу настройки частного SSL для нескольких моих сайтов. У меня есть несколько сайтов, размещенных по одному тарифному плану (план позволяет использовать неограниченное количество доменов). Однако мне сказали, что, поскольку это общий хостинг и в конечном итоге каждый сайт работает с одного и того же IP-адреса, я могу установить только один сертификат и защитить только один из моих сайтов (поскольку для каждого сертификата требуется выделенный IP-адрес).
Другой вариант, который они предложили мне, заключался в использовании общего сертификата; это неприемлемо, так как браузер выдаст предупреждение о сертификате. Мой вопрос: это типично для провайдеров виртуального хостинга или я могу найти тот, который позволяет мне использовать несколько частных сертификатов? В настоящее время я занимаюсь разработкой нескольких сайтов и хотел бы свести расходы к минимуму, поэтому я еще не перехожу на VPS или выделенный хостинг. Спасибо.
Информация, предоставленная вам вашим провайдером виртуального хостинга, была действительно точной.
Трафик на основе SSL должен быть привязан к одному IP-адресу, чтобы можно было установить первоначальное квитирование SSL и зашифрованное соединение. Все это делается еще до того, как веб-серверу будет представлен запрошенный URI. Из-за этого вы можете привязать только один сертификат к каждому IP-адресу. Хотя вы можете иметь неограниченное количество доменов, привязанных к одному IP-адресу, что исключает установку сертификата SSL.
Многие провайдеры общего доступа позволят вам оплачивать дополнительный IP-адрес на определенных планах общего хостинга, чтобы можно было использовать сертификаты SSL. Вы можете обнаружить, что ваш провайдер действительно предлагает это, но это может быть доступно только в другом плане, поскольку это будет считаться более продвинутой услугой, поэтому может быть недоступно с более простым планом хостинга.
Изменить: этот вопрос из 2009 года, когда ответ (ниже) был правильным. Если люди сейчас сталкиваются с этой информацией, она более или менее неуместна:
Вопрос о SSL, и указанное вами ограничение о SSL был и остается верным. Тем не мение, все использует TLS сейчас и Индикация имени сервера (SNI) широко доступен, решая именно эту проблему. Конечно, вы все равно можете продолжать использовать групповые сертификаты, но индивидуальные сертификаты для каждого TLS-хоста возможно также.
Это не поможет в ситуации с исходным вопросом 2009 г., но обновит ответ, сделав его более актуальным на момент редактирования, 2015 г.
Оригинальный ответ от 2009 года:
Информация о 1 конечной точке https на IP-адрес верна. Протокол таков, что шифрование начинается до того, как клиент и сервер согласовывают URL-адрес, который потребуется VirtualHosts для включения SSL. Ключ / сертификат будет зависеть от URL-адреса - то есть имени хоста - для настройки нескольких сертификатов на одном IP-адресе, но он используется до того, как сервер узнает, с каким URL-адресом собирается связаться.
Я понимаю, что протокол находится в стадии разработки, но в настоящее время нет решения этой проблемы - по крайней мере, общедоступного.
Обновление: если вы получаете только 1 IP-адрес для себя, вы можете использовать подстановочные сертификаты. В основном они удостоверяют личность не для www.example.com, а для * .example.com, так что вы можете иметь несколько хостов, совместно использующих один и тот же IP-адрес, без каких-либо предупреждений в браузере.
Есть только два способа защитить несколько доменов, использующих один и тот же IP-адрес. Либо используйте разные сервисные порты для каждого сертификата (этот вариант отстой), либо найдите CA, который разрешает SubjectAltName в сертификатах.
С SubjectAltName вы можете определить столько записей DNS для каждого сертификата, сколько захотите. Это означает, что один сертификат будет аутентифицировать несколько доменов. Это выходит за рамки подстановочных знаков, поскольку домены не должны иметь ничего общего. В качестве примера вы можете посмотреть CAcert что позволяет это.
Это уже не так, если используется Apache 2.2.12, реализующий SNI, один адрес больше не требуется для каждого сертификата. Надеюсь, теперь мы увидим больше доступных для виртуального хостинга.
https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm
Если вы можете найти общий хост, который предоставит вам несколько IP-адресов, вы можете получить несколько сертификатов, но вы действительно не можете (насколько я понимаю) иметь несколько сертификатов на одном IP-адресе, если он не используется совместно.
Если вам нужно что-то более экономичное (и вы не боитесь немного поработать с конфигурацией), вы можете взглянуть на облако стоечного пространства (ранее Mosso, похожее на EC2, только немного дешевле ... теоретически запустить сервер разработки примерно за 15 долларов в месяц): http://www.rackspacecloud.com
[ОБНОВЛЕНИЕ] У вас недостаточно комментариев для комментариев, но, как указано ниже, технически вы можете получить сертификат с подстановочными знаками, который действителен для всех поддоменов домена (* .example.com, который включает www.example.com). Однако это не работает с несколькими доменами, вам все равно понадобится несколько IP-адресов по причинам, объясненным Олафом.
На данный момент это не так уж и полезно, но в будущем вы сможете использовать Индикация имени сервера, который использует расширение в протоколе TLS для отправки имени сервера в рамках установления связи TLS. Это указано в RFC3546. К сожалению, он не очень хорошо поддерживается. OpenSSL не включает его по умолчанию до версии 0.9.8j, выпущенной 5 месяцев назад. IE в Windows XP не поддерживает его, но поддерживает Vista. А IIS его вообще не поддерживает. Пока все ваши пользователи XP не исчезнут, а ваш хостинг-провайдер не обновит свои серверы, вы ничего не можете с этим поделать.
Это правда, что у вас не может быть нескольких сертификатов ssl для одного IP.
Однако технически возможно получить сертификат, действительный для domain1.example.org domain2.example.com и т. Д.
Ваш хост не позволяет иметь выделенные IP-адреса. Вы должны найти хост, который позволит вам приобрести план с общим хостингом, но с выделенными IP-адресами. Делаем это с Сервер Интеллект www.serverintellect.com например прямо сейчас. По сути, они просто взимают с нас отдельную небольшую плату за каждый выделенный IP-адрес, который нам нужен.
Я успешно развернул несколько сертификатов SSL на одном, но выделенном хосте с использованием псевдонима IP. Как это можно или нужно использовать в плане общего хостинга, я не могу ответить. я нашел это статья на IBM Developerworks быть очень информативным.