Ist eine eindeutige IP-Adresse für SSL ein Muss?

23

Das Shared Hosting-Unternehmen teilte mir mit, dass wenn ich eine IP-Adresse kaufe, diese auch für die Addon-Domains gilt. Was heißt das? Dann wird das SSL-Zertifikat nicht funktionieren, da es mehr als 2 Domains in einer IP gibt (wenn ich eine Addon-Domain hinzufüge)? Wenn das SSL-Zertifikat mit einer IP funktioniert, auf der zwei verschiedene Domänen gehostet werden, warum funktioniert es dann nicht auf einem gemeinsam genutzten Host?

ilhan
quelle
Nein, das ist nicht erforderlich. Es gibt viele Hosting-Anbieter, die SSL-Zertifikate für freigegebene IP-Adressen zulassen.
William Edwards

Antworten:

13

HINWEIS: Diese Antwort war zum Zeitpunkt des Schreibens und Akzeptierens korrekt, ist jedoch nicht mehr korrekt. Hier gibt es andere Antworten als die Adresse SNI, die mehrere SSL-Zertifikate pro IP-Adresse zulässt.


Ja, Sie benötigen eine dedizierte IP-Adresse für Ihr SSL-Zertifikat. Der folgende Artikel erklärt genau, warum:

SSL-Zertifikate auf Sites mit Host-Headern

Der wichtigste Absatz lautet:

Es ist ein Henne-Ei-Problem: Der Hostname wird in dem vom Client gesendeten SSL-Blob verschlüsselt. Da der Hostname Teil der Bindung ist, benötigt IIS den Hostnamen, um das richtige Zertifikat zu suchen. Ohne den Hostnamen kann IIS die richtige Site nicht finden, da die Bindung unvollständig ist. Ohne das Zertifikat kann IIS den SSL-Blob mit dem Hostnamen nicht entschlüsseln. Spielende - wir drehen uns im Kreis.

Es gibt eine Möglichkeit, SSL-Zertifikate mit Host-Headern auf einer gemeinsam genutzten IP-Adresse zu verwenden, Sie müssen jedoch die erste IP-Adresse abrufen:

Es gibt jedoch eine Möglichkeit, wenn Sie zwei verschiedene Standorte an derselben IP-Adresse benötigen: Port. Sie können dies erreichen, indem Sie ein Zertifikat anfordern, das beide gebräuchlichen Namen enthält, dh sitev1.mysite.com und sitev2.mysitem.com. Zertifizierungsstellen erlauben normalerweise mehr als einen sogenannten "allgemeinen Namen" in einem Zertifikat. Wenn Sie das Zertifikat an eine der beiden Sites binden, werden keine Zertifikatfehler mehr angezeigt. Der Kunde ist froh, wenn einer der Namen im Zertifikat übereinstimmt.

Wenn Ihr Hoster sagt "dann gilt dies auch für die Addon-Domains.", was sie bedeuten, ist entweder Sie können Sie verwenden:

  • Ein Wildcard-SSL, z. B. * .example.com, kann dann die IP-Adresse von mehr als einer Site, die ein Host in example.com ist, gemeinsam verwenden, z. B. www.example.com, webmail.example.com und so weiter.

  • Ein SSL mit alternativen Antragstellernamen, mit dem mehr als eine Domain mit demselben SSL gesichert werden kann, zum Beispiel: http://www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/

Kev
quelle
4
@ilhan Diese Antwort ist nicht mehr korrekt. Hier gibt es andere Antworten, die SNI adressieren und mehrere SSL-Zertifikate pro IP zulassen.
Mxx
Bitte aktualisieren Sie diese Antwort, um die aktuelle Situation widerzuspiegeln.
Lèse Majesté
20

RFC 4366 (Server Name Indication) ermöglicht virtuelles Hosting für SSL und ist ziemlich alt und wird heutzutage gut unterstützt

Eine ausführliche Erklärung finden Sie unter http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI .

James McCormack
quelle
Haben Sie Daten zur aktuellen SNI-Unterstützung?
Deebster
3
Dieser Wiki-Artikel bietet weitere Kompatibilitätsinformationen für die Unterstützung von Server Name Indication: en.wikipedia.org/wiki/Server_Name_Indication
James McCormack
2

Es gibt verschiedene Arten von Server-SSL-Zertifikaten, darunter solche, die für einen einzelnen Server funktionieren, solche, die für eine gesamte Serverdomäne verwendet werden können (sogenannte Platzhalterzertifikate) und solche, die für mehrere Domänen gelten.

Seien Sie sehr vorsichtig, welches Zertifikat Sie kaufen, da dies die Skalierbarkeit einschränkt.

Zu Ihrer Information: Zertifizierungsstellen (die Unternehmen, die Zertifikate ausstellen) stellen keine domänenweiten Zertifikate oder Zertifikate mit mehreren Domänen aus, da sie diese als Einnahmeverlust ansehen. (Warum 1 Zertifikat für eine gesamte Domain für $ x ausstellen, wenn Sie 5 Zertifikate für $ 5x ausstellen können?) Wenn Sie jedoch auf themy drücken, können Sie diese normalerweise dazu bringen, Ihnen ein domänenweites Zertifikat auszustellen.


quelle
2

Das Hosten mehrerer SSL-fähiger Websites auf einem einzigen Server erfordert normalerweise eine einzige IP-Adresse pro Site, das SAN-SSL-Zertifikat kann diese Schwierigkeit jedoch lösen. MS IIS 6 und Apache können HTTPS-Sites mithilfe des UC-Zertifikats (auch als SAN-Zertifikate bezeichnet) virtuell hosten.

Durch die Verwendung eines SAN-Zertifikats sparen Sie Zeit und Mühe beim Konfigurieren mehrerer IP-Adressen auf Ihrem Exchange 2007-Server, beim Binden jeder IP-Adresse an ein anderes Zertifikat und beim Ausführen einer Vielzahl von Power Shell-Befehlen auf niedriger Ebene, um alles zusammenzufügen.

Mühelos und problemlos zu warten, als mehrere IP-Adressen auf Ihrem Server zu speichern und jedem ein anderes Zertifikat zuzuweisen.

jd4487
quelle
1

Dies bedeutet, dass alle von Ihnen gehosteten Domains Ihre IP zuweisen. Sie können den Host jedoch so einschränken, dass die IP-Adresse nur für eine bestimmte Domain festgelegt wird. Das SSL-Zertifikat, das auf der Domäne angewendet wird, sollte sich jedoch auf der dedizierten IP befinden. Einige SSL-Zertifikate können auch mehrere Domänen sichern, z. B. geotrust multidomain ev. Beim Shared Hosting befinden sich mehrere Domains auf demselben Hosting, sodass Ihre IP-Adresse auch die Domain eines anderen Clients hostet. Es ist also nicht sicher, warum es nicht funktionieren wird.

Kedin
quelle
Es ist nicht erforderlich, die Frage in der Antwort zu zitieren.
ChrisF