SSLには一意のIPアドレスが必要ですか？

23

共有ホスティング会社は、IPアドレスを購入すれば、アドオンドメインにも適用できると言った。どういう意味ですか？1つのIPに3つ以上のドメインがあるため、SSL証明書は機能しません（アドオンドメインを追加する場合）？SSL証明書が2つの異なるドメインでホストされている1つのIPで機能する場合、共有ホストでは機能しないのはなぜですか？

https security-certificate ip-address

— イルハン
ソース

いいえ、必須ではありません。共有IPでSSL証明書を許可する多くのホスティングプロバイダーがあります。

— ウィリアムエドワーズ14

1

私の質問とほぼ同じですが、SSL証明書には実際に専用IPが必要ですか？

— Traven 14

13

注：この回答は、書かれて受け入れられた時点では正確でしたが、もはや正しくありません。IPアドレスごとに複数のSSL証明書を許可するSNIに対処する他の回答があります。

はい、SSL証明書専用のIPアドレスが必要です。次の記事では、その理由を正確に説明しています。

ホストヘッダーのあるサイトのSSL証明書

重要な段落は次のとおりです。

これは鶏と卵の問題です。ホスト名は、クライアントが送信するSSL blobで暗号化されます。ホスト名はバインディングの一部であるため、IISは正しい証明書を検索するためにホスト名を必要とします。ホスト名がないと、バインドが不完全であるため、IISは適切なサイトを検索できません。証明書がないと、IISはホスト名を含むSSL Blobを解読できません。ゲームオーバー-私たちは輪になっています。

共有IPアドレスのホストヘッダーでSSL証明書を使用する方法がありますが、その最初のIPアドレスを取得する必要があります。

ただし、同じIP：Portに2つの異なるサイトが必要な場合は、方法があります。これは、sitev1.mysite.comとsitev2.mysitem.comなどの共通名の両方を含む証明書を取得することで実現できます。証明書機関は通常、証明書に複数のいわゆる「共通名」を許可します。証明書を2つのサイトのいずれかにバインドすることにより、証明書エラーが発生しなくなります。証明書の名前のいずれかが一致する場合、クライアントは満足しています。

ホスティング事業者が「それからアドオンドメインにも適用可能になります」と言ったとき。、彼らが意味するのは、あなたが使用できるかどうかです：

* .example.comなどのワイルドカードSSLを使用すると、www.example.com、webmail.example.comなど、example.comのホストである複数のサイトがIPアドレスを共有できます。
同じSSLを使用して複数のドメインを保護できるサブジェクトの別名SSL 。たとえば、http：//www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/

— ケブ
ソース

4

@ilhanこの答えはもはや正確ではありません。IPごとに複数のSSL証明書を許可するSNIに対処する他の回答がここにあります。

— Mxx

現在の状況を反映するために、この回答を更新してください。

— Lèseはmajesté

20

RFC 4366（サーバー名表示）は、SSLの仮想ホスティングを許可し、かなり古く、現在よくサポートされています

かなり詳細な説明については、http：//wiki.apache.org/httpd/NameBasedSSLVHostsWithSNIを参照してください。

— ジェームズ・マコーマック
ソース

現在のSNIサポートに関するデータはありますか？

— -Deebster

3

このwiki記事には、サーバー名表示サポートに関する互換性情報がさらにあります。en.wikipedia.org/ wiki / Server_Name_Indication

— ジェームズマコーマック

4

サーバーソフトウェアに依存します。IIS 7 は複数のSSLのホストをサポートし、同じIPアドレスでサイトを有効にします。

2

サーバーSSL証明書には、単一のサーバーで機能するもの、サーバーのドメイン全体で使用できるもの（いわゆる「ワイルドカード」証明書）、および複数のドメインで機能するものなど、いくつかの種類があります。

どの証明書を購入するかは非常に注意してください。これにより、スケーリングの方法が制限されます。

参考までに、認証局（証明書を発行する企業）は、ドメイン全体またはマルチドメインの証明書を収益の損失と見なしているため、それらを発行することを好みません。（5xで5枚の証明書を発行できるのに、$ xでドメイン全体で1枚の証明書を発行するのはなぜですか？）しかし、themyを押すと、通常、それらを取得してドメイン全体の証明書を発行できます。

2

通常、単一のサーバーで複数のSSL対応Webサイトをホストするには、サイトごとに単一のIPアドレスが必要ですが、SAN SSL証明書でこの問題を解決できます。MS IIS 6およびApacheは、UC証明書（SAN証明書とも呼ばれます）を使用してHTTPSサイトを仮想ホストできます。

SAN証明書を使用すると、Exchange 2007サーバーで複数のIPアドレスを構成し、各IPアドレスを異なる証明書にバインドし、多数の低レベルのPower Shellコマンドを実行して、それらをすべてまとめるのに伴う手間と時間を節約できます。

サーバー上に複数のIPアドレスを配置し、それぞれに異なる証明書を割り当てるよりも、簡単で問題なく維持できます。

— jd4487
ソース

1

これは、あなたがホストするすべてのドメインがIPを割り当てることを意味します。ただし、特定のドメインにのみIPを設定するようにホストを制限できます。SSL証明書はドメインに適用されますが、ドメインは専用IP上にある必要があります。一部のSSL証明書は、geotrust multidomain evなどの複数のドメインを保護することもできます。共有ホスティングでは、同じホスティングに複数のドメインがあるため、IPは他のクライアントのドメインもホストしています。したがって、安全ではないため、動作しません。

— ケディン
ソース

答えに質問を引用する必要はありません。

— ChrisF