Вопросы Теги

Это решение для того, чтобы иметь несколько сертификатов SSL на том же IP

Никакой Акселератор Мигания, кажется, не может сделать то, что Вы хотите.

1
задан 1 May 2010 в 06:05
3 ответа

Обычно, существует один сертификат за один раз на IP-адрес, потому что сервер соглашается на сертификат во время начального квитирования (прежде чем это будет видеть заголовок Хоста HTTP). Но Признак имени сервера (SNI) изменяет это, позволяя клиенту отправить Хост сервера во время квитирования TLS.

Я не думаю, что Вы вполне на правильном пути. Принятие Вас хочет, чтобы Ваши два сайта были публично доступны, в какой-то момент необходимо будет указать (через DNS), что 1st.com и 2nd.com оба в x.x.x.x (общедоступный IP). Затем необходимо использовать SNI для различения их. Нет никакой потребности в виртуальном NICs или локальном дюйм/с.

1
ответ дан 4 December 2019 в 02:07
  • 1
    " Затем необходимо использовать SNI для различения them". это даже не возможно с маршрутами? –  Saif Bechan 1 May 2010 в 06:07
  • 2
    Существует очень хороший документ Apache, который описывает SNI здесь: wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI Matthew' s право, Вы can' t достигают того, что Вы хотите с простой маршрутизацией IP, потому что Вы будете всегда поражать проблему, которую единственный общедоступный IP-адрес будет разрешать к двум доменам. –  David Harrison 1 May 2010 в 13:48
  • 3
    @Saif, Вам нужен SNI, если у Вас нет больше чем одного общественность IP. –  Matthew Flaschen 3 May 2010 в 02:59

То, что Вы хотите сделать, возможно - это - как я выполняю что-то как 30 поддерживающих SSL сайтов на единственном сервере.

Если Вы захотите сделать это, не используя SNI (который большая часть Победы браузеры XP не поддерживают AFAIK), то Вам будут нужны два общедоступных IP-адреса - 1.1.1.2, и 1.1.1.3 говорят. Затем в зависимости от того, что поддерживает Ваш поставщик услуг хостинга, Вы могли сделать любое из следующего:

  1. Настройте те общедоступные IP-адреса на своих 2 виртуальных NICs - например, eth0:1 1.1.1.2, eth0:2 1.1.1.3. Затем настройте веб-сервер (веб-серверы) соответственно и удостоверьтесь, чтобы записи DNS для 1st.com и 2nd.com указали на те общедоступные IP-адреса.
  2. Оставьте частные адреса на своем виртуальном NICs, и разбудите набор Преобразования сетевых адресов между 1.1.1.2 и 192.168.10.2, и между 1.1.1.3 и 192.168.10.3, и удостоверьтесь, чтобы записи DNS для 1st.com и 2nd.com указали на те общедоступные IP-адреса.

Когда Вы говорите добавление тех записей в "файл hosts" который является файлом hosts на сервере, или на настольном ПК, от которого Вы просматриваете? Что записи DNS связаны с 1st.com и 2nd.com? Если они оба указывают на 1.1.1.1 IP-адреса в DNS, который мог бы объяснить, почему Вы заканчиваете на сайте менеджера по ISP, когда Вы просматриваете к https://1st.com. Я также проверил бы, на каких IP-адресах менеджер по ISP настроен для слушания - это могло бы просто захватывать порты 80 и 443 на всех доступных IP-адресах на сервере.

0
ответ дан 4 December 2019 в 02:07
  • 1
    Спасибо за ответ. Если я понимаю Ваше решение, корректное, Вы говорите выполнение нескольких, SSL включает тот же сервер. Я знаю, что это возможно с несколькими IP' s. Но также возможно использовать всего 1 IP. Я должен заплатить моему поставщику за каждый новый IP, который я запрашиваю, не там никакой путь вокруг этого? –  Saif Bechan 5 May 2010 в 10:16
  • 2
    Единственными путями вокруг этого является один сертификат с несколькими Подчиненными Альтернативными названиями (но you' d должны купить обратно сертификат каждый раз, когда Вы добавили новый сайт), или использующий SNI. –  meulop 5 May 2010 в 14:52

Без SNI у Вас может только быть один сертификат на общедоступный IP-адрес. Пока SNI полностью не поддерживается, Ваш наилучший вариант состоит в том, чтобы использовать единственный сертификат Объединенных коммуникаций, который включает все имена хостов, которые необходимо защитить.

0
ответ дан 4 December 2019 в 02:07

Теги

Похожие вопросы