Was genau bedeutet "jedes SSL-Zertifikat erfordert eine dedizierte IP"?

Ich ein bisschen gelesen habe, über SSL-Zertifikate, und in allem, was ich gelesen habe, dass ein SSL-Zertifikat "erfordert eine dedizierte IP-Adresse". Nun, ich bin mir nicht sicher, die Bedeutung dieses; es bedeutet, dass das Zertifikat erfordert eine dedizierte IP-Adresse getrennt von der IP-Adresse, die Sie für normale HTTP-Kommunikation, oder einfach nur, dass es nicht teilen kann die IP-Adresse mit anderen SSL-Zertifikate?

Zu klären, ich habe einen vserver mit einer dedizierten IP-Adresse. Die VPS-hosting durchaus ein paar verschiedene Websites, darunter mehrere subdomains der Haupt-Website, sondern nur die Haupt-Website und-subdomains SSL erfordert. Kann ich einfach den Kauf eines SSL-Zertifikats für *.example.com mit meiner aktuellen IP-Adresse, oder brauche ich eine, die ist getrennt von den anderen Seiten auf dem VPS? Oder noch schlimmer, muss ich eins zu bekommen, die getrennt von allen HTTP-Verkehr auf dem server? Beachten Sie, dass keine anderen Websites muss SSL.

Vielen Dank für jede Aufklärung zu dem Thema.

Edit: Einige Quellen für meine sorgen:

http://symbiosis.bytemark.co.uk/docs/symbiosis.html#ch-ssl-hosting

Ist es nötig, dedizierte IP-Adresse zu installieren SSL-Zertifikat?

InformationsquelleAutor der Frage Hubro | 2013-04-03

  1. 35

    1. Es gibt keine solche Sache als "SSL-Zertifikat". Der Begriff ist irreführend. X. 509-Zertifikate können ausgestellt werden für verschiedene Zwecke (wie definiert, durch Ihren Key Usage und Extended Key Usage "Eigenschaften"), insbesondere für die Sicherung der SSL/TLS-Sitzungen.

    2. Zertifikate nicht verlangen, etwas in Bezug auf sockets, Adressen und ports Zertifikate sind Reine Daten.

    3. Wenn die Sicherung eine Verbindung mit TLS, in der Regel mit dem Zertifikat zur Authentifizierung des Servers (und manchmal der client). Es gibt einen server per IP/Port, so dass in der Regel kein problem für den server zu wählen, welches Zertifikat zu verwenden.

      HTTPS ist die Ausnahme — mehrere verschiedene domain-Namen verweisen auf eine IP und der client (normalerweise ein browser) eine Verbindung zu demselben server für verschiedene domain-Namen. Die domain-Namen an den server übergeben wird, in der Anforderung, das geht nach TLS-handshake.

      Hier ist, wo das problem entsteht - der web-server nicht weiß, welches Zertifikat zu präsentieren. Um dies zu beheben, eine neue Erweiterung wurde Hinzugefügt, TLS -, namens SNI (Server Name Indication). Aber nicht alle clients unterstützen. So im Allgemeinen ist es eine gute Idee zu haben, einen dedizierten server per IP/Port-pro domain. In anderen Worten, jede domain, zu der der client kann eine Verbindung über HTTPS, sollte seine eigene IP-Adresse (oder einen anderen port, aber das ist nicht üblich).

    InformationsquelleAutor der Antwort Eugene Mayevski 'Allied Bits

  2. 5

    SSL-Zertifikate nicht benötigen eine dedizierte IP-Adresse. SSL-Zertifikate-Shop eine so genannte gemeinsamen Namen. Browser interpretieren diese Namen den DNS-Namen des Servers, von dem Sie sprechen. Wenn der common name nicht mit DNS-Namen des Servers, die der browser spricht, wird der browser eine Warnung ausgeben.

    Können Sie eine so genannte wildcard-Zertifikatdas wäre zulässig, wird für alle hosts innerhalb einer bestimmten Domäne.

    InformationsquelleAutor der Antwort Oswald

  3. 3

    ...folgenden auf @Eugene die Antwort mit mehr Informationen über die Kompatibilität Problem...

    Laut diese Seite von namecheap.com SNI funktioniert nicht auf:

    • Windows XP + eine beliebige version von Internet Explorer (6,7,8,9)
    • Internet Explorer 6 oder früher
    • Safari auf Windows XP
    • BlackBerry-Browser
    • Windows Mobile bis 6.5
    • Nokia Browser für Symbian zumindest auf Series60
    • Opera Mobile für Symbian zumindest auf Series60

    Web-site noch verfügbar über HTTPS, sondern ein Zertifikat-Fehler angezeigt wird.

    So, wie wir in 2016 würde ich es Wagen, stecke meinen Hals raus und sagen, "Wenn Sie eine moderne website sowieso (nicht Unterstützung von alten Browsern), und wenn das Projekt ist so klein, dass Sie es sich nicht leisten können eine dedizierte IP-Adresse, Sie werden wahrscheinlich in Ordnung sein, sich auf SNI." Natürlich, es gibt Tausende von Experten, die sich widersprechen, aber wir reden hier über praktischenicht perfekt.

    InformationsquelleAutor der Antwort JoshuaDavid

  4. 0

    Das ssl-Zertifikat commmon Namen hat, um den domain-Namen. Sie haben keine Voraussetzung über die ip-Adresse, es sei denn, es ist eine Einschränkung, die Zertifikat-Anbieter oder der http-server-software.

    Bearbeiten: suchen in das web, es scheint, dass das Gerücht wurde verbreitet, weil Apache das ssl-plugin nicht (zumindest nicht 2002) jeder Mechanismus, mit dem anderen Zertifikat basierend auf dem Hostnamen. In einem solchen Szenario würden Sie haben, um zwei verschiedene Apache-web-Server auf zwei verschiedenen IP-Adressen.

    Sowieso in Ihrer Konfiguration sollten Sie keine Probleme haben, mit nur einer IP, weil Sie nicht haben, um zwei verschiedene Zertifikate (weil Sie planen, verwenden Sie ein wildcard-Zertifikat).

    Ich würde trotzdem versuchen zu konfigurieren, den webserver mit einem selbst signierten Zertifikat, bevor Sie Geld für eine zweite ip oder Zertifikat.

    Edit 2: Referenz-apache-Dokumentation:

    http://httpd.apache.org/docs/2.2/vhosts/name-based.html

    Scheint es, wie jetzt (apache >= 2.2.12) es wird unterstützt

    InformationsquelleAutor der Antwort pqnet

Schreibe einen Kommentar