web-dev-qa-db-ja.com

AzureはUCC / SAN SSL証明書をサポートしていますか?

15のドメイン名が関連付けられているAzure Webアプリがあります(つまり、すべてのドメイン名が同じアプリケーションにマッピングされています)。

同じWebアプリを指す15のドメインすべてにSSLを提供する必要があります。

これまでの私の観察:

  • 従来のSSLバインディングでは、ドメインごとに1つのIPアドレスが必要であるため、この1つのWebアプリには15のIPアドレスが必要です。

  • Azure Web Appは、追加のIPをそれぞれ39ドルで購入しない限り、Webアプリごとに1つのIPのみを提供します。 15個の追加のIPを購入したくない。

  • 同じApp Serviceプランで15個のWebアプリケーションを作成できましたが、同じAppサービスプランにある限り、すべて同じ外部IPアドレスを使用しているように見えますか?

  • 新しいSNIバインディングスキームは、複数のドメインにわたる単一のIPアドレスで使用できますが、WinXPのIE(多かれ少なかれSNIの唯一の制限、見つけた)

  • SNIをサポートできないWindows XP/IEユーザーからの収入はかなりあるので、SNI SSLバインディングを避けたいと思います。

私の要件を考えると:

  • 単一のApp Serviceプラン(単一または複数のWebアプリインスタンス)で15のドメイン名のSSLをサポート
  • 可能であれば、追加のIPを購入しないでください
  • 可能であればSNIを回避する

...残された唯一の妥当なオプションはUCC/SAN SSL証明書であるように私には思えますね?

その場合、Azure経由で「App Service証明書」を購入しようとすると、UCC証明書がオプションではないことを示す次の情報ボックスが表示されます(少なくとも購入する場合)。

enter image description here

私の質問は:

a。)私の要件を考慮して、SAN証明書を適切なコースで使用する計画はありますか?

b。)Azureは、このようなシナリオのUCC/SAN証明書もサポートしていますか?意図したとおりに使用できないことが判明した場合にのみ、証明書を購入したくありません。

前もって感謝します!

7
Simon Ordo

AzureはUCC/SAN SSL証明書をサポートしています。しかし、イメージに従って、このタイプのssl証明書をAzure 'App Service Certificate'を通じて購入しようとしたため、そこからUCC/SAN証明書オプションを見つけることができませんでした。信頼できるSSLプロバイダーから購入してください。

15個すべてのドメインがメインドメインの第1レベルのサブドメインである場合は、ワイルドカードのssl証明書でそれらを保護することもできます。ただし、abc.com、app.abc.net、login.xyz.biz、signup.abc.orgのようなマルチドメインの場合は、SAN SSLが最適です。

要件ごとに:

古いブラウザのWindows XP/IEからかなりの収益を得ている場合は、SNIを使用しないでください。ただし、SNIは完全にIE Webブラウザーを無視しませんが、そのバージョンの一部を無視します。詳細は SNIがサポートするブラウザーとサーバー をご覧ください。

ご質問のとおり:

  1. Microsoft AzureがサポートするUCC/SAN SSL証明書を取得します。
  2. SNIを使用したくない場合は、ドメインごとに異なるIPアドレスを取得します。これも有効ですが、「 SSLバインディング 」オプションでは、SSLタイプを「IPベースのSSL」として選択する必要があります。
1
Dana

はい。SSL証明書のバインドを構成することで、15のWebアプリケーションすべてをAzure App Serviceで保護できます。 SAN SSLは単一の証明書ですべてのアプリケーションを保護するための理想的なソリューションです。Azureアプリサービスはカスタムドメインをカバーし、指定されたsubjectAltName値と一致します。

すべてのWebアプリケーションを単一のIPで保護するには、SSLバインドオプションでSSLタイプ「SNI SSL」を選択することが不可欠です。それ以外の場合は、Webアプリケーションごとに異なるIPアドレスを購入し、「IPベースのSSL」オプションを選択する必要があります。

* IP based SSL associates a certificate with a domain name by mapping the dedicated public IP address of the server to the domain name. This requires each domain name (contoso.com, fabricam.com, etc.) associated with your service to have a dedicated IP address. This is the traditional method of associating SSL certificates with a web server.
* SNI based SSL is an extension to SSL and **[Transport Layer Security](http://en.wikipedia.org/wiki/Transport_Layer_Security)** (TLS) that allows multiple domains to share the same IP address, with separate security certificates for each domain. Most modern browsers (including Internet Explorer, Chrome, Firefox and Opera) support SNI, however older browsers may not support SNI. For more information on SNI, see the **[Server Name Indication](http://en.wikipedia.org/wiki/Server_Name_Indication)** article on Wikipedia.

自己署名証明書はブラウザから信頼されていないため、MicrosoftはCA署名証明書の使用を推奨しています。要件に応じて、Comodo Multi Domain SSLを低価格で利用できます。

出典:

  1. https://www.ssl2buy.com/wiki/server-name-indication-sni-use-multiple-ssl-on-a-single-ip
  2. https://docs.Microsoft.com/en-us/Azure/app-service-web/web-sites-configure-ssl-certificate#bkmk_subjectaltname
0
Jaymin Dangi

はい、UCC/SAN SSL証明書はMicrosoft Azureでサポートされます。

証明書を購入したら、SNI機能を有効にする必要があります。 15のドメインすべてをカバーします。

機能するSSL証明書(Microsoftが推奨)

  • Comodo UCC SSL
  • ComodoマルチドメインSSL
  • GeoTrust True BusinessIDマルチドメインSSL
  • Thawte WebサーバーSSL証明書
0
Jake Adley