Сертификат SSL для общедоступного IP-адреса?
К сожалению, Windows не может мультиплексировать два интернет-соединения, как маршрутизатор был бы. Вместо этого можно переключить соединения по требованию, как объяснено в этом учебном руководстве:
Я думаю, что можно сделать это, но не способ, которым Вы пытаетесь сделать это.
Сертификат SSL является оператором, связывающим общедоступный ключ шифрования со структурой X.500, которая включает CN, или Общее название, элемент; сертификат со знаком - один такой, где привязка, несомненно, сертифицирована сторонним центром сертификации, с помощью открытый ключ, уже известный конечным пользователям (что стопка сертификатов Центра сертификации (CA), живущих в браузере).
При посещении защищенного от SSL веб-сайта с браузером CN со знаком сообщен браузеру. То, что браузер принимает решение сделать с ним, до браузера. Браузеры, о которых я знаю, сравнивают его с именем хоста, которое требуют, и ошибка, если это отличается (или если та сертифицированная привязка не противостоит анализу, например, сертификат подписания не известен браузеру, или привязка является устаревшей, но это - другой вопрос). Нет ничего, что в принципе мешает Вам получить публично подписанный сертификат, где CN является IP-адресом не FQDN (полностью определенное доменное имя) [1], но это волшебно не заставит браузер сравнить CN с IP-адресом, вместо с требуемым именем хоста.
Я подозреваю, что самый простой способ решить Вашу проблему состоит в том, чтобы запустить Ваш собственный CA, который легко сделать, и существует много общедоступных учебных руководств о; каждый здесь. После того как Ваши конечные пользователи импортируют Ваш CA в свои браузеры, все сертификаты, которые Вы чеканите, будут приняты как авторитетные.
У Вас может затем быть вторая проблема в этом, Вы хотите выполнить много сайтов NameVirtualHost на единственном IP-адресе. Это исторически было непреодолимо, с тех пор (в отличие от TLS) согласование SSL происходит перед чем-либо еще на соединении; то есть, CN, встроенный в Ваш сертификат, сообщается и используется, клиент, прежде чем клиент сможет сказать, что размещает, они пытаются соединиться с.
Недавно, расширение протокола под названием SNI (Признак Имени сервера), кажется, было представлено, который позволяет клиенту и серверу указывать, что они хотели бы сделать некоторый материал имени хоста, прежде чем сертификат SSL будет представлен, позволяя правильному ряда сертификатов быть данным сервером. По-видимому, это требует апачских 2.2.10, достаточно последней версии OpenSSL и (значительно) клиентской поддержки.
Таким образом, если бы я должен был сделать то, что Вы пытаетесь сделать, то я посмотрел бы на чеканку моего собственного сертификата CA, сообщение моим конечным пользователям, что они должны использовать браузеры, которые поддерживают SNI и импортируют мой корневой сертификат CA, и вырезание и подписание моих собственных сертификатов SSL для каждого bugtrack сайта.
[1] Хорошо, Вы не могли найти никого, кто сделает это, но это - деталь реализации. Что я пытаюсь показать, вот то, что, даже если бы Вы сделали, это не решило бы Вашу проблему.
-
1Для определенного приложения, почему нет? Если это чеканится поставщиком приложения, и Вы не доверяете ему, Вы завинчены относительно этого приложения так или иначе, так как он имеет частный ключ SSL и может дешифровать вещи независимо. и если это волнует их так очень, он может просто сократить самоподписанные сертификаты для каждого из его buqtrack сайтов, и они могут импортировать их по мере необходимости. – MadHatter supports Monica 22 October 2010 в 13:08
Разрешение и покупает доменное имя. Они являются дешевыми, не будьте более дешевыми, чем это. Вам только нужен тот. Возможно, даже просто настройте bugtracker.yourcompany.com.
Затем для каждого bugtracker, настроенного субдомен для того имени. Получите сертификат SSL для каждого из тех субдоменов. Так как Вы кажетесь особенно нерасположенной стоимостью, компанию, с которой Вы хотите поддерживать деловые отношения, называют StartSSL.
Причина Вы хотите использовать их, состоит в том, потому что (в дополнение к тому, чтобы быть доверяемым главными браузерами) их сертификаты не стоят больших денег. Самый основной вид сертификата действительно, честно, без дерьма свободный. Они проверяют Ваши идентификационные данные, затем позволяют Вам выпустить столько, сколько Вам нужно. Если Вы хотите более необычные сертификаты (которые обычно стоят нескольких сотен маркеров), Вы смотрите приблизительно на 50$ в течение 2 лет для поддержки SSL для нескольких доменов на единственном IP.
Они являются супер дешевыми для того, что Вы получаете. Они выпускают реальные сертификаты, доверяемый Вашими клиентскими браузерами и не 90-дневными пробными версиями как другие места делают.
-
1Сколько из Ваших клиентов собирается сделать полную проверку данных на Вашем поставщике SSL? Они должны были бы действительно вырыть, прежде чем они поняли, что поддерживали деловые отношения с компанией, которая поддерживала деловые отношения с израильской компанией. Как MadHatter заявил, политическая нестабильность имеет очень мало, чтобы сделать с тем, действителен ли Ваш сертификат. После того как это выпущено, это допустимо, пока это не истекает, точка. Но здорово, если Вы хотите заплатить некоторому другому регистратору смешные деньги за что-то, что это не технически сложно. Сертификаты SSL являются одним из самых смешных жульничеств когда-либо. – Paul McMillan 25 October 2010 в 22:11
-
2Эй, все она, взятия являются всего одним клиентом для сдувания ее. Извините, так как я не очень ясен с начала. Моя страна не позволяет ее людям поддерживать деловые отношения с Израилем.Это все. – serial engine 26 October 2010 в 03:32
-
3Да, это было бы более полезной вещью сказать. Сертификаты SSL являются напрасно дорогими, но в масштабе ведения бизнеса, стоимость - почти ничто. – Paul McMillan 26 October 2010 в 10:37
Существует один Корневой центр сертификации, который я знаю этого, предварительно заполняется со всеми главными браузерами и выпускает сертификаты SSL на общедоступных IP-адресах: смотрите на GlobalSign. Они считывают ЗРЕЛУЮ информацию для проверки запроса сертификата, таким образом, Вы могли бы хотеть проверить сначала, что ЗРЕЛАЯ запись выпущена на корректном имени.
В отношении обратной связи добралась эта запись:
Да, предпочтительно купить доменное имя и выпустить сертификат SSL на этом CN. Это также менее дорого, чем опция GlobalSign выше.
Но, существуют случаи, где сертификаты SSL с общедоступным IP как CN полезны. Многие интернет-провайдеры и правительства блокируют нежелательные сайты на основе инфраструктуры DNS. Если Вы предлагаете некоторый сайт, который, вероятно, будет заблокирован, например, по политическим причинам, это - хороший вариант иметь этот сайт, доступный через его общедоступный IP-адрес. В то же время Вы захотите зашифровать трафик для тех пользователей, и Вы не хотите, чтобы Ваши нетехнические пользователи прошли стычку нажатия посредством предупреждений исключения безопасности их браузера (потому что CN сертификата не соответствует фактическому вводимому). Заставляя их установить Ваш очень собственный Корень CA является еще большим количеством стычки и не реалистичный.