Mehrere private SSL-Zertifikate in einem gemeinsamen Hosting-Paket? [geschlossen]

12

Kürzlich habe ich meinen Shared-Hosting-Anbieter kontaktiert, um für einige meiner Websites privates SSL einzurichten. Ich habe mehrere Sites, die unter demselben Plan gehostet werden (der Plan erlaubt unbegrenzte Domains). Mir wurde jedoch mitgeteilt, dass ich, da es sich um Shared Hosting handelt und letztendlich jeder Standort von derselben IP-Adresse aus betrieben wird, nur ein einziges Zertifikat installieren und nur einen meiner Standorte sichern kann (da für jedes Zertifikat eine dedizierte IP-Adresse erforderlich ist).

Die andere Option, die sie mir gaben, war die Verwendung eines freigegebenen Zertifikats. Dies ist nicht akzeptabel, da der Browser eine Zertifikatswarnung generieren würde. Meine Frage ist: Ist dies typisch für Shared-Hosting-Anbieter oder kann ich eines finden, das mehrere private Zertifikate zulässt? Ich entwickle derzeit mehrere Websites und möchte die Kosten so gering wie möglich halten, weshalb ich noch kein Upgrade auf VPS oder dediziertes Hosting durchführe. Vielen Dank.

em444
quelle

Antworten:

6

Die Informationen, die Sie von Ihrem Shared Hosting-Anbieter erhalten haben, waren in der Tat korrekt.

SSL-basierter Datenverkehr muss an eine einzelne IP-Adresse gebunden sein, damit der anfängliche SSL-Handshake und die verschlüsselte Verbindung hergestellt werden können. Dies geschieht alles, bevor dem Webserver überhaupt die angeforderte URI angezeigt wird. Aus diesem Grund kann an jede IP-Adresse nur ein Zertifikat gebunden werden. Sie können zwar eine unbegrenzte Anzahl von Domänen an eine einzelne IP-Adresse binden, was eine Installation eines SSL-Zertifikats ausschließt.

Bei vielen gemeinsam genutzten Anbietern können Sie für bestimmte gemeinsame Hosting-Pakete eine zusätzliche IP-Adresse bezahlen, damit SSL-Zertifikate verwendet werden können. Sie werden feststellen, dass Ihr Provider dies tatsächlich anbietet, es jedoch möglicherweise nur für einen anderen Plan verfügbar ist, da dies als erweiterter Service angesehen wird und daher möglicherweise nicht für einen einfacheren Hosting-Plan verfügbar ist.

Jeremy Bouse
quelle
5

Bearbeiten: Diese Frage stammt aus dem Jahr 2009, als die Antwort (unten) richtig war. Wenn die Leute jetzt auf diese Informationen stoßen, ist das mehr oder weniger irrelevant:

Die Frage bezieht sich auf SSL , und die Einschränkung, die Sie in Bezug auf SSL angegeben haben, war und ist korrekt. Doch jeder wird mit TLS jetzt und Server Name Indication (SNI) ist weit verbreitet, die Lösung genau dieses Problems. Natürlich können Sie weiterhin Platzhalterzertifikate verwenden, es sind jedoch auch individuelle Zertifikate für jeden TLS-Host möglich .

Dies hilft in der Situation der ursprünglichen Frage von 2009 nicht weiter, aktualisiert jedoch die Antwort, um zum Zeitpunkt der Bearbeitung von 2015 relevanter zu sein


Ursprüngliche Antwort von 2009:

Die Informationen zu 1 https-Endpunkt pro IP sind korrekt. Das Protokoll ist so aufgebaut, dass die Verschlüsselung startet, bevor Client und Server die URL aushandeln, die für VirtualHosts zum Aktivieren von SSL erforderlich wäre. Der Schlüssel / das Zertifikat hängt von der URL (auch bekannt als Hostname) ab, über die mehrere Zertifikate auf einer IP eingerichtet werden. Diese wird jedoch verwendet, bevor der Server weiß, mit welcher URL Kontakt aufgenommen werden soll.

Ich verstehe, dass an dem Protokoll gearbeitet wird, aber derzeit gibt es keine Lösung für dieses Problem - zumindest nicht allgemein verfügbar.

Update: Wenn Sie nur 1 IP für sich selbst erhalten, können Sie Wildcard-Zertifikate verwenden. Grundsätzlich zertifizieren sie die Identität nicht für www.example.com, sondern für * .example.com, sodass Sie mehrere Hosts mit derselben IP-Adresse haben können, ohne dass im Browser eine Warnung generiert wird.

Olaf
quelle
Könnten Sie bitte Ihr Update näher erläutern: Würde das nicht immer noch eine Zertifizierungswarnung für eine andere Site als * .example generieren?
em444
Ja es würde. Platzhalter sind nur für Hosts innerhalb derselben Domain wirklich nützlich, aber ich würde vermuten, dass Sie viele verschiedene Domains hosten.
David Pashley
Ja, und ich finde anscheinend keine
Lösung
Danke David für die Beantwortung der ersten Frage - ich war kurz nach der Beantwortung weg. Nur für das Hosten mehrerer https-Sites würden Sie jedoch nicht mehr als einen Server benötigen. Es ist vollkommen in Ordnung, einen Server mit mehreren IP-Adressen zu haben und jede dieser Adressen an einen eigenen virtuellen SSL-Host zu binden. Das Limit ist die IP-Adresse (und möglicherweise die von Ihren Servern auferlegten Hardwarebeschränkungen). Sie müssen lediglich einen Hoster finden, der mehrere IPs pro Server bereitstellt. Die Erwähnung von https-Hosting mit mehreren Domänen ist normalerweise der Grund, warum sie dies akzeptieren, wenn sie überhaupt in diesem Geschäft tätig sind.
Olaf
1

Es gibt nur zwei Möglichkeiten, mehrere Domänen mit derselben IP-Adresse zu sichern. Verwenden Sie für jedes Zertifikat unterschiedliche Service-Ports (diese Option ist zum Kotzen) oder suchen Sie eine Zertifizierungsstelle, die SubjectAltName in Zertifikaten zulässt.

Mit SubjectAltName können Sie beliebig viele DNS-Einträge pro Zertifikat definieren. Das bedeutet, dass ein Zertifikat mehrere Domänen authentifiziert. Dies ist jenseits von Platzhaltern, da die Domänen nichts gemeinsam haben müssen. Als Beispiel hierfür können Sie CAcert auschecken, das dies ermöglicht.

OliverS
quelle
0

Wenn Sie einen gemeinsam genutzten Host finden, der Ihnen mehrere IPs gibt, können Sie mehrere Zertifikate erhalten, aber Sie können nicht wirklich (wie ich es verstehe) mehrere Zertifikate auf derselben IP-Adresse haben, es sei denn, es wird gemeinsam genutzt.

Wenn Sie etwas Kostengünstigeres möchten (und keine Angst haben, etwas von Ihrer eigenen Konfigurationsarbeit zu machen), können Sie sich die Rackspace-Cloud ansehen (früher Mosso, ähnlich wie EC2, nur ein bisschen billiger ... Sie könnten es Theoretisch sollte ein Entwickler-Server für etwa 15 US-Dollar im Monat laufen ( http://www.rackspacecloud.com)

[UPDATE] Sie haben noch nicht genügend Repräsentanten, um einen Kommentar abzugeben. Wie unten angegeben, können Sie jedoch ein Wildcard-Zertifikat erhalten, das für alle Subdomains einer Domain gültig ist (* .example.com, einschließlich www.example.com). Dies funktioniert jedoch nicht mit mehreren Domains. Aus den von Olaf erläuterten Gründen benötigen Sie immer noch mehrere IP-Adressen.

Ian Selby
quelle
Ja schaute ich in Wildcard - cert und Wendungen, dass teurer wäre dann einfach für zusätzliche Hosting - Anmeldung ....
em444
0

Dies ist derzeit keine besonders nützliche Antwort, aber in Zukunft sollten Sie die Servername- Anzeige verwenden können , die eine Erweiterung im TLS-Protokoll verwendet, um den Servernamen als Teil des TLS-Handshakes zu senden. Es ist in RFC3546 angegeben . Leider ist es nicht sehr gut unterstützt. OpenSSL aktiviert es nicht standardmäßig bis 0.9.8j, das vor 5 Monaten veröffentlicht wurde. IE unter Windows XP unterstützt es nicht, aber unter Vista. Und IIS unterstützt das überhaupt nicht. Bis alle Ihre Benutzer auf XP verschwunden sind und Ihr Hosting-Anbieter ihre Server aktualisiert hat, können Sie nicht viel dagegen tun.

David Pashley
quelle
Das ist gut zu wissen ... leider wahrscheinlich schon seit einiger Zeit keine Option mehr ... wissen Sie zufällig, ob VPS-Hosting es mir ermöglichen würde, mein Ziel zu erreichen (ich weiß wenig darüber) ... wenn nicht, welche Art von Hosting-Plan müsste ich das erlauben ... danke
em444
Sie benötigen einen Hosting-Anbieter, der Ihnen so viele IP-Adressen gibt, wie Sie benötigen. Möglicherweise finden Sie einen VPS-Anbieter, der dies erledigt, aber ich vermute, dass Sie mit größerer Wahrscheinlichkeit einen dedizierten Server mit dieser Option finden, der zwei- bis dreimal so teuer sein wird.
David Pashley
0

Es ist wahr, dass Sie nicht mehrere SSL-Zertifikate für eine einzelne IP haben können.

Es ist jedoch technisch möglich, ein Zertifikat zu erhalten, das für domain1.example.org, domain2.example.com usw. gültig ist.

Hier ist ein Beispiel.

cstamas
quelle
0

Erlaubt Ihr Host Ihnen keine dedizierten IPs? Sie sollten in der Lage sein, einen Host zu finden, mit dem Sie einen Tarif mit gemeinsamem Hosting, aber dedizierten IPs erwerben können. Dies machen wir derzeit zum Beispiel mit Server Intellect www.serverintellect.com . Grundsätzlich berechnen sie uns nur eine kleine Gebühr für jede dedizierte IP, die wir benötigen.

Charles
quelle
0

Ich habe erfolgreich mehrere SSL-Zertifikate auf einem einzelnen, aber dedizierten Host mithilfe von IP-Aliasing bereitgestellt. Wie dies auf einem gemeinsamen Hosting-Plan verwendet werden könnte oder sollte, kann ich nicht beantworten. Ich fand diesen Artikel über IBM Developerworks sehr informativ.


quelle