我有一个 SaaS 项目需要支持自定义 SSL 域。我研究过信噪比看起来很完美。如果我决定(或需要)支持 Windows XP。我还可以使用哪些其他技术?
我知道我可以创建虚拟 IP 地址,但不认为这可以很好地与我们当前的托管服务提供商兼容(他们会向我们收取每个 IP 的费用,而且他们必须为我们的防火墙和负载均衡器工作)。
还有其他常用技术吗?我研究过反向代理(或者可能是 CloudFlare 之类的东西),但没有看到任何明确的结论。
我正在使用 nginx 代理 Apache2 来执行 PHP。
答案1
选项包括:
- SNI(XP 兼容性是个问题)
- 大量 IP 地址(IPv4 越来越少!)
- 具有每个域的主题备用名称的证书(某些 CA 也将其称为统一通信证书)
SAN 证书的缺点是,当您添加新名称时,您必须重新颁发证书,这对于您可能经常添加新名称的服务提供商环境来说确实不利。
答案2
您需要使用大块 IP 地址和支持 SAN(主题备用名称,一种得到广泛支持的 SSL 技术,用于在单个 SSL 证书上设置大量域)的 SSL 证书。
许多提供商允许每个此类证书最多支持 100 个域名。因此,假设您从 16 个 IP 地址块开始,每个 IP 地址都有一个证书,上面有 100 个域名,您将能够在这样的设置上支持 1600 个域名。IP 地址块不能用于全部 16 个 IP 地址,因此请接受或给出几百个 IP 地址。
目前还没有浏览器广泛支持的在单个 IP 地址上安装多个证书的方法。
此列表允许按多个域支持进行过滤: 证书比较