Azure 是否支持 UCC/SAN SSL 证书?

tag-icon tag-icon ssl ssl-certificate azure web
Azure 是否支持 UCC/SAN SSL 证书?

我有一个 Azure Web 应用程序,其中有 15 个关联域名(即,所有域名都映射到同一个应用程序)。

我需要为所有 15 个域提供 SSL,指向同一个 Web 应用程序。

我目前的观察:

  • 传统的 SSL 绑定要求每个域一个 IP 地址,因此我需要为这个 Web 应用程序提供 15 个 IP 地址。

  • Azure Web App 仅为每个 Web 应用提供一个 IP,除非我以每个 39 美元的价格购买额外的 IP。我想避免购买 15 个额外的 IP。

  • 我可以在同一个应用服务计划下创建 15 个 Web 应用程序,但看起来只要它们在同一个应用服务计划中,它们都使用相同的外部 IP 地址,对吗?

  • 较新的 SNI 绑定方案可以与跨多个域的单个 IP 地址一起使用,但不支持较旧的浏览器,例如 WinXP 上的 IE(我发现这或多或少是 SNI 的唯一限制)

  • 我想避免使用 SNI SSL 绑定,因为我们有相当多的收入来自无法支持 SNI 的 Windows XP/IE 用户。

考虑到我的要求:

  • 单个应用服务计划 (单个​​或多个 Web 应用实例) 上支持 15 个域名的 SSL
  • 尽可能避免购买额外的 IP
  • 尽可能避免使用 SNI

...在我看来唯一合理的选择就是 UCC/SAN SSL 证书,对吗?

如果是这样,当我尝试通过 Azure 购买“应用服务证书”时,我收到以下信息框,这意味着 UCC 证书不是一种选择(至少对于购买而言):

在此处输入图片描述

我的问题是:

a.) 考虑到我的要求,我使用 SAN 证书的计划是否合适?

b.) 对于这种情况,Azure 是否支持 UCC/SAN 证书?我不想购买证书后才发现无法按预期使用。

提前致谢!

答案1

Azure 支持 UCC/SAN SSL 证书。但根据您的图片,您尝试通过 Azure“应用服务证书”购买此类型的 SSL 证书,因此无法从中找到 UCC/SAN 证书选项。因此,请从受信任的 SSL 提供商处购买。

如果您的所有 15 个域名都是主域名的一级子域名,那么您也可以使用通配符 SSL 证书保护它们。但如果它们是多个域名,如 abc.com、app.abc.net、login.xyz.biz、signup.abc.org,那么 SAN SSL 是最佳选择。

根据您的要求:

如果您从旧版浏览器 Windows XP/IE 中获得了相当多的收入,那么就不要选择 SNI。但 SNI 不会完全忽略 IE 网络浏览器,而是会忽略它的某些版本。阅读更多SNI 支持哪些浏览器和服务器

根据您的问题:

  1. 选择 Microsoft Azure 支持的 UCC/SAN SSL 证书。
  2. 如果不想使用 SNI,则为每个域采用不同的 IP 地址,这也是有效的,但在'SSL 绑定'选项,您必须选择 SSL 类型为“基于 IP 的 SSL”。

答案2

是的,UCC/SAN SSL 证书将在 Microsoft Azure 中得到支持。

购买证书后,您只需启用 SNI 功能。它将覆盖您的所有 15 个域名。

可以使用的 SSL 证书(Microsoft 建议)

  • Comodo UCC SSL
  • Comodo 多域名 SSL
  • GeoTrust True BusinessID 多域名 SSL
  • Thawte Web 服务器 SSL 证书

答案3

是的,通过配置 SSL 证书绑定,您的所有 15 个 Web 应用程序都可以在 Azure 应用服务中得到保护。SAN SSL 是使用单个证书保护所有应用程序的理想解决方案。Azure 应用服务涵盖自定义域并匹配指定的 subjectAltName 值。

要使用单个 IP 保护所有 Web 应用程序,必须在 SSL 绑定选项下选择 SSL 类型“SNI SSL”。否则,您需要为每个 Web 应用程序购买不同的 IP 地址,并选择“基于 IP 的 SSL”选项。

* IP based SSL associates a certificate with a domain name by mapping the dedicated public IP address of the server to the domain name. This requires each domain name (contoso.com, fabricam.com, etc.) associated with your service to have a dedicated IP address. This is the traditional method of associating SSL certificates with a web server.
* SNI based SSL is an extension to SSL and **[Transport Layer Security](http://en.wikipedia.org/wiki/Transport_Layer_Security)** (TLS) that allows multiple domains to share the same IP address, with separate security certificates for each domain. Most modern browsers (including Internet Explorer, Chrome, Firefox and Opera) support SNI, however older browsers may not support SNI. For more information on SNI, see the **[Server Name Indication](http://en.wikipedia.org/wiki/Server_Name_Indication)** article on Wikipedia.

Microsoft 建议使用 CA 签名证书,因为自签名证书不受浏览器信任。根据您的要求,您可以选择价格更低的 Comodo 多域 SSL。

来源:

  1. https://www.ssl2buy.com/wiki/server-name-indication-sni-use-multiple-ssl-on-a-single-ip
  2. https://docs.microsoft.com/en-us/azure/app-service-web/web-sites-configure-ssl-certificate#bkmk_subjectaltname

相关内容