Unterstützt Azure UCC / SAN-SSL-Zertifikate?

7

Ich habe eine Azure-Webanwendung, der 15 Domänennamen zugeordnet sind (dh alle Domänennamen sind derselben Anwendung zugeordnet).

Ich muss SSL für alle 15 Domänen bereitstellen und auf dieselbe Web-App verweisen.

Meine bisherigen Beobachtungen:

  • Für die herkömmliche SSL-Bindung ist eine IP-Adresse pro Domain erforderlich, daher würde ich für diese eine Web-App 15 IP-Adressen benötigen.

  • Azure Web App stellt nur eine einzige IP pro Web-App bereit, es sei denn, ich kaufe zusätzliche IPs für jeweils 39 US-Dollar. Ich möchte vermeiden, 15 zusätzliche IPs zu kaufen.

  • Ich könnte 15 Webanwendungen unter demselben App Service Plan erstellen, aber es sieht so aus, als würden alle dieselbe externe IP-Adresse verwenden, solange sie sich im selben App Service Plan befinden. Richtig?

  • Das neuere SNI-Bindungsschema kann mit einer einzelnen IP-Adresse über mehrere Domänen hinweg verwendet werden, wird jedoch in älteren Browsern wie IE unter WinXP nicht unterstützt (mehr oder weniger die einzige Einschränkung von SNI, die ich gefunden habe).

  • Ich möchte SNI-SSL-Bindungen vermeiden, da wir einen anständigen Umsatz von Windows XP / IE-Benutzern erzielen, die SNI nicht unterstützen können.

Angesichts meiner Anforderungen:

  • Unterstützt SSL für 15 Domainnamen in einem einzelnen App Service Plan (einzelne oder mehrere Web-App-Instanzen)
  • Vermeiden Sie nach Möglichkeit den Kauf zusätzlicher IPs
  • Vermeiden Sie nach Möglichkeit SNI

... scheint mir die einzig vernünftige Option zu sein, ist ein UCC / SAN-SSL-Zertifikat, richtig?

Wenn ich versucht habe, ein "App Service-Zertifikat" über Azure zu erwerben, wird folgende Infobox angezeigt, die impliziert, dass UCC-Zertifikate keine Option sind (zumindest für den Kauf):

Geben Sie hier die Bildbeschreibung ein

Meine Frage ist:

a.) Ist mein Plan für die Verwendung eines SAN-Zertifikats angesichts meiner Anforderungen der geeignete Kurs?

b.) Unterstützt Azure in einem solchen Szenario überhaupt UCC / SAN-Zertifikate? Ich möchte das Zertifikat nicht nur kaufen, um herauszufinden, dass ich es nicht so verwenden kann, wie ich es beabsichtige.

Danke im Voraus!

Simon Ordo
quelle

Antworten:

1

Azure unterstützt das UCC / SAN-SSL-Zertifikat. Gemäß Ihrem Image haben Sie jedoch versucht, dieses SSL-Zertifikat vom Typ Azure 'App Service Certificate' zu erwerben. Aus diesem Grund konnten Sie die UCC / SAN-Zertifikatoption nicht finden. Kaufen Sie es also bei einem vertrauenswürdigen SSL-Anbieter.

Wenn alle 15 Domänen Subdomains der ersten Ebene der Hauptdomäne sind, können Sie sie auch mit einem Platzhalter-SSL-Zertifikat sichern. Wenn es sich jedoch um mehrere Domänen wie abc.com, app.abc.net, login.xyz.biz und signup.abc.org handelt, ist SAN SSL die beste Option.

Gemäß Ihren Anforderungen:

Wenn Sie mit älteren Browsern unter Windows XP / IE einen angemessenen Umsatz erzielt haben, entscheiden Sie sich nicht für SNI. SNI ignoriert den IE-Webbrowser jedoch nicht vollständig, sondern einige seiner Versionen. Lesen Sie mehr über SNI unterstützt welchen Browser und Server .

Gemäß Ihren Fragen:

  1. Suchen Sie nach einem UCC / SAN-SSL-Zertifikat, das von Microsoft Azure unterstützt wird.
  2. Wenn Sie SNI nicht verwenden möchten, verwenden Sie für jede Domäne eine andere IP-Adresse, die ebenfalls gültig ist. In der Option " SSL-Bindungen " müssen Sie jedoch den SSL-Typ als "IP-basiertes SSL" auswählen.
Dana
quelle
0

Ja, das UCC / SAN-SSL-Zertifikat wird in Microsoft Azure unterstützt.

Nach dem Kauf des Zertifikats müssen Sie nur die SNI-Funktion aktivieren. Es werden alle Ihre 15 Domains abgedeckt.

SSL-Zertifikate, die funktionieren (von Microsoft empfohlen)

  • Comodo UCC SSL
  • Comodo Multi Domain SSL
  • GeoTrust True BusinessID Multi Domain SSL
  • Thawte Web Server SSL-Zertifikat
Jake Adley
quelle
0

Ja, alle 15 Webanwendungen können im Azure App Service durch Konfigurieren einer SSL-Zertifikatbindung sicher sein. SAN SSL ist eine ideale Lösung, um alle Anwendungen mit einem einzigen Zertifikat zu sichern. Der Azure-Appdienst deckt benutzerdefinierte Domänen ab und stimmt mit den angegebenen subjectAltName-Werten überein.

Um alle Webanwendungen mit einer einzigen IP-Adresse zu sichern, müssen Sie unter der Option SSL-Bindung den SSL-Typ „SNI SSL“ auswählen. Andernfalls müssen Sie für jede Webanwendung unterschiedliche IP-Adressen erwerben und die Option „IP-basiertes SSL“ auswählen.

* IP based SSL associates a certificate with a domain name by mapping the dedicated public IP address of the server to the domain name. This requires each domain name (contoso.com, fabricam.com, etc.) associated with your service to have a dedicated IP address. This is the traditional method of associating SSL certificates with a web server.
* SNI based SSL is an extension to SSL and **[Transport Layer Security](http://en.wikipedia.org/wiki/Transport_Layer_Security)** (TLS) that allows multiple domains to share the same IP address, with separate security certificates for each domain. Most modern browsers (including Internet Explorer, Chrome, Firefox and Opera) support SNI, however older browsers may not support SNI. For more information on SNI, see the **[Server Name Indication](http://en.wikipedia.org/wiki/Server_Name_Indication)** article on Wikipedia.

Microsoft schlägt vor, ein CA-signiertes Zertifikat zu verwenden, da selbstsignierte Zertifikate vom Browser nicht als vertrauenswürdig eingestuft werden. Je nach Ihren Anforderungen können Sie Comodo Multi Domain SSL zu günstigeren Preisen verwenden.

Quelle:

  1. https://www.ssl2buy.com/wiki/server-name-indication-sni-use-multiple-ssl-on-a-single-ip
  2. https://docs.microsoft.com/en-us/azure/app-service-web/web-sites-configure-ssl-certificate#bkmk_subjectaltname
Jaymin Dangi
quelle