我们的组织计划将 HTTPS 添加到我们的网站。由于我们的服务器只有一个 IP(这意味着我们只能使用一个证书),因此我们需要一个对我们组织中具有各种域名的所有网站都有效的证书。因此证书不应包含域名。
从技术上来说,它们是否可行?CA 是否对这些进行了签名?浏览器如何处理它们?
答案1
如果未指定至少一个主题主体名称(域),则无法获得 X.509 证书。没有哪个有用的 CA 会让您获得没有可绑定到您可证明自己拥有的域的证书。它们可以在您“拥有”的级别上使用通配符,因此 site1.domain.com、site2.domain.com 等都可以,但 site1.domain2.com 不行。
另一种方法是使用主题备用名称或 SAN [功能] 证书,这些证书可以包含一系列其他名称(各种类型),前提是您的证书提供商准备添加它们。对于您的用例,它们可以是域内特定站点的 FQDN(site1.domain.com、site2.domain.com 等),也可以是其他域的 FQDN(site1.domain2.com、site1.domain.net)。它们可用于根据您想要执行的操作添加其他类型的标识符,包括 ip 地址,但我不知道这些附加功能实际上有多广泛地受支持。您可以包含的 SAN 标识符数量也因证书提供商而异,Verisign 允许 19, 尽管Digicert 将支持最多 150例如。
来自OpenSSL 文档:
主题备用名称扩展允许在配置文件中包含各种文字值。这些包括 email(电子邮件地址)、URI(统一资源指示符)、DNS(DNS 域名)、RID(注册 ID:OBJECT IDENTIFIER)、IP(IP 地址)、dirName(可分辨名称)和 otherName。
电子邮件选项包含一个特殊的“复制”值。这将自动在扩展中包含证书主题名称中包含的电子邮件地址。
IP 选项中使用的 IP 地址可以是 IPv4 或 IPv6 格式。... subjectAltName=email:copy,email:[电子邮件保护],URI:http://my.url.这里/ subjectAltName=IP:192.168.7.1 subjectAltName=IP:13::17 subjectAltName=电子邮件:[电子邮件保护],RID:1.2.3.4 subjectAltName=otherName:1.2.3.4;UTF8:其他标识符
答案2
不可以。SSL 证书受其通用名称 (CN) 绑定,并且 CN 与域名绑定,而不是 IP 地址。
不幸的是,除了请求一组 IP 之外别无选择。大多数 ISP 都会在商业计划中免费为您提供 4 个额外的 IP 块(其中 2 个可用)。
答案3
是的 - 它们被称为通配符 SSL 证书,但它们只适用于单个域名 (*.domain.com.)
较新的证书还可以包含证书内的 SAN(主题备用名称),我相信这允许您跨越域名边界(即,一个证书适用于 www.domain.com 和 www.domain2.com。)
答案4
与普遍看法相反是现在可以在同一个 IP 地址上拥有多个具有不同名称的 SSL 站点,但它要求服务器和客户端应用程序都支持 SNI(参见http://en.wikipedia.org/wiki/服务器名称指示了解详情)。
某些客户端(最明显的是 IE6,以及在 Windows XP 上运行的 IE7/8)缺乏支持是主要原因不是使用 SNI,但如果这不会对您的用户群产生重大影响,则可能值得考虑。Firefox 从版本 2 开始支持 SNI,IE7 和 IE8 在 Vista/2003/2008/7 下支持它(有关更多客户端支持详细信息,请参阅上面链接的 Wikipedia 文章)。
如果您的服务器基于 Windows 并通过 IIS 提供 HTTP(S) 服务,则另一个问题是 IIS 缺乏支持 - 但您可以通过安装 lighttp 或 nginx 作为真正的 http(s) 守护进程(IIS)的反向代理来解决这个问题。
当然,您仍然需要为每个 FQDN 提供一个单独的证书,或者至少为每组名称提供一个通配符证书 - 但它确实减少了您需要分配的 IP 地址数量,如果这些地址是您服务器所在地的稀缺(或昂贵)资源,那么这将是一件好事(tm)。