Que signifie exactement “chaque certificat SSL nécessite une adresse IP dédiée” signifie?
J'ai lu un peu à propos des certificats SSL, et, en particulier, j'ai lu qu'un certificat SSL "nécessite une adresse IP dédiée". Maintenant, je ne suis pas sûr de la signification de cela; signifie que le certificat nécessite une adresse IP dédiée séparée de l'adresse IP utilisée pour le mode normal de communication HTTP, ou tout simplement qu'il ne peut pas partager l'adresse IP avec d'autres certificats SSL?
Pour préciser, j'ai un VPS avec une adresse IP dédiée. Le VPS est un hébergement tout à fait quelques sites différents, y compris plusieurs sous-domaines du site principal, mais seulement du site principal et les sous-domaines requiert SSL. Puis-je simplement acheter un certificat SSL pour *.example.com à l'aide de mon adresse IP actuelle, ou dois-je besoin d'en obtenir un qui est séparé des autres sites sur le VPS? Ou pire encore, ai-je besoin d'en obtenir un qui est séparé de tout le trafic HTTP sur le serveur? Gardez à l'esprit qu'aucun des autres sites besoins SSL.
Merci pour les éclaircissements sur le sujet.
Edit: Certaines sources pour mon soucis:
http://symbiosis.bytemark.co.uk/docs/symbiosis.html#ch-ssl-hosting
Est-il nécessaire d'avoir une Adresse IP dédiée pour installer un certificat SSL?
Vous devez vous connecter pour publier un commentaire.
Il n'y a pas une telle chose comme "certificat SSL". Le terme est trompeur. X. 509 certificats peuvent être émis à des fins différentes (telles que définies par leur Utilisation de la Clé et de l'Étendue de l'Utilisation de Clé "propriétés"), en particulier pour la sécurisation SSL/TLS sessions.
Certificats ne demande rien en ce qui concerne les prises, les adresses et les ports, les certificats sont de pure data.
Lors de la fixation d'une connexion avec le protocole TLS, habituellement, vous pouvez utiliser le certificat pour authentifier le serveur (et parfois le client). Il y a un serveur par IP/Port, donc généralement il n'y a pas de problème pour le serveur de choisir ce certificat à utiliser.
HTTPS est l'exception — plusieurs noms de domaine différents peut se référer à une seule adresse IP et le client (généralement un navigateur se connecte au serveur de noms de domaine différents. Le nom de domaine est passé sur le serveur de la demande, qui va après poignée de main TLS.
C'est là que le problème se pose - le serveur web ne sais pas de quel certificat à présenter. Pour répondre à cette nouvelle extension a été ajoutée à TLS, nommé SNI (Server Name Indication). Cependant, pas tous les clients de l'appuyer. Donc, en général, c'est une bonne idée d'avoir un serveur dédié par IP/Port par domaine. En d'autres termes, chaque nom de domaine, le client peut se connecter en utilisant le protocole HTTPS, doit avoir sa propre adresse IP (ou un autre port, mais ce n'est pas le cas d'habitude).
Les certificats SSL ne nécessitent pas une adresse IP dédiée. Les certificats SSL de stocker une nom commun. Navigateur d'interpréter ce nom commun que le nom DNS du serveur à qui ils parlent. Si le nom commun ne correspond pas le nom DNS du serveur sur lequel le navigateur est en train de parler, le navigateur affiche un message d'avertissement.
Vous pouvez obtenir une sorte de certificat générique, qui serait recevable pour tous les hôtes dans un certain domaine.
...la suite sur @Eugène de répondre avec plus d'informations à propos de la question de la compatibilité...
Selon cette page namecheap.com SNI ne fonctionne pas sur:
Site Web sera toujours disponible via HTTPS, mais un certificat d'incompatibilité d'erreur apparaîtra.
Ainsi, alors que nous entrons 2016, je me permets de coller mon cou et se dire, "Si vous êtes la construction d'une site web moderne de toute façon (en ne soutenant pas les vieux navigateurs), et si le projet est tellement petite qu'elle ne peut pas se permettre une adresse IP dédiée, vous aurez probablement être fine en s'appuyant sur le SNI." Bien sûr, il y a des milliers d'experts qui sont en désaccord avec cela, mais nous parlons d'être pratique, il n'est pas parfait.
Le certificat ssl voir le nom doit correspondre au nom de domaine. Vous n'avez pas tous les plus de l'adresse ip, sauf si c'est une limitation imposée par le fournisseur du certificat ou le serveur http de logiciels.
Modifier: en regardant dans le web, il semble que la rumeur s'est répandue comme Apache ssl du plugin n'a pas (au moins il n'a pas eu en 2002) tout mécanisme permettant d'utiliser différents certificat basé sur le nom d'hôte. Dans un tel scénario, vous devez exécuter deux différents serveurs web Apache sur le deux adresses IP différentes.
De toute façon dans votre configuration, vous ne devriez avoir aucun problème en utilisant une seule adresse IP, car vous n'avez pas à utiliser deux différents certificats (parce que vous prévoyez d'utiliser un certificat wildcard).
Je voudrais quand même essayer de configurer le serveur avec un certificat auto-signé avant de dépenser de l'argent pour une deuxième adresse ip ou d'un certificat.
Edit 2: référence de la documentation d'apache:
http://httpd.apache.org/docs/2.2/vhosts/name-based.html
Il semble que maintenant (apache >= 2.2.12) il est pris en charge