web-dev-qa-db-ja.com

SSLには一意のIPアドレスが必要ですか?

共有ホスティング会社は、IPアドレスを購入すれば、アドオンドメインにも適用できると言った。どういう意味ですか? 1つのIPに3つ以上のドメインがあるため、SSL証明書は機能しません(アドオンドメインを追加する場合)? SSL証明書が2つの異なるドメインでホストされている1つのIPで機能する場合、共有ホストでは機能しないのはなぜですか?

23
ilhan

注:この回答は、書かれて受け入れられた時点では正確でしたが、もはや正しくありません。ここには、IPアドレスごとに複数のSSL証明書を許可するSNIに対処する他の回答があります。


はい、SSL証明書専用のIPアドレスが必要です。次の記事では、その理由を正確に説明しています。

ホストヘッダーのあるサイトのSSL証明書

重要な段落は次のとおりです。

これは鶏と卵の問題です。ホスト名は、クライアントが送信するSSL blobで暗号化されます。ホスト名はバインディングの一部であるため、IISは正しい証明書を検索するためにホスト名を必要とします。ホスト名がない場合、IISは、バインドが不完全であるため、適切なサイトを検索できません。証明書がない場合、IISは、ホスト名を含むSSL blobを復号化できません。ゲームオーバー-私たちは輪になっています。

共有IPアドレスのホストヘッダーでSSL証明書を使用する方法がありますが、その最初のIPアドレスを取得する必要があります。

ただし、同じIP:Portに2つの異なるサイトが必要な場合は、方法があります。これは、sitev1.mysite.comとsitev2.mysitem.comなどの共通名の両方を含む証明書を取得することで実現できます。証明書機関は通常、証明書に複数のいわゆる「共通名」を許可します。証明書を2つのサイトのいずれかにバインドすることにより、証明書エラーが発生しなくなります。証明書の名前のいずれかが一致する場合、クライアントは満足しています。

ホスティング事業者がと言うと、「アドオンドメインにも適用可能になります。」、それらの意味は次のいずれかです。

13
Kev

RFC 4366 (サーバー名表示)は、SSLの仮想ホスティングを許可し、かなり古く、現在よくサポートされています

http://wiki.Apache.org/httpd/NameBasedSSLVHostsWithSNI をご覧ください。かなり詳細な説明があります。

20
Bruno Rohée

サーバーソフトウェアに依存します。 IIS 7 複数のSSL有効化のホストをサポート 同じIPアドレス上のサイト。

4
Frazell Thomas

通常、単一のサーバーで複数のSSL対応Webサイトをホストするには、サイトごとに単一のIPアドレスが必要ですが、SAN SSL証明書でこの問題を解決できます。 MS IIS 6およびApacheは、UC証明書(SAN証明書とも呼ばれる)を使用してHTTPSサイトを仮想ホストできます。

SAN証明書を使用すると、 Exchange 2007サーバー、各IPアドレスを異なる証明書にバインドする で複数のIPアドレスを構成する手間と時間を節約でき、かなりの低レベルPower Shellコマンドは、すべてをつなぐためだけにコマンドを実行します。

サーバーに複数のIPアドレスを配置し、それぞれに異なる証明書を割り当てるよりも、簡単で問題なく維持できます。

2
jd4487

単一のサーバーで機能するもの、サーバーのドメイン全体で使用できるもの(いわゆる「ワイルドカード」証明書)、および複数のドメインで機能するものなど、いくつかの種類のサーバーSSL証明書があります。

どの証明書を購入するかは、スケーリングの方法を制限するため、非常に注意してください。

参考:証明機関(証明書を発行する企業)は、ドメイン全体またはマルチドメインの証明書を収益の損失と見なしているため、発行することを好みません。 (5xで5枚の証明書を発行できるのに、ドメイン全体で$ xで1枚の証明書を発行するのはなぜですか?).

2
Rob Raisch

これは、あなたがホストするすべてのドメインがIPを割り当てることを意味します。ただし、特定のドメインにのみIPを設定するようにホストを制限できます。 SSL証明書はドメインに適用されますが、ドメインは専用IP上にある必要があります。一部のSSL証明書は、geotrust multidomain evなどの複数のドメインを保護することもできます。共有ホスティングでは、同じホスティングに複数のドメインがあるため、IPは他のクライアントのドメインもホストしています。したがって、安全ではないため、動作しません。

1
Kedin