AFAIK,SSL被分配到一个域名(可能是通过通配符的几个子域名)。
另一方面,我听说网络服务器在服务ssl之前没有看到域名?
如果我在一个IP地址上有多个域作为vhost运行:
Q1:网络服务器是否可以为网站提供相应的SSL?
Q2:有没有办法在一个IP上只有一个多域SSL服务两个域?
通过这个看似自相矛盾的引语来解释我的困惑:
为单个FQDN(完全合格)颁发常规SSL证书 域名)。使用证书的域必须拥有自己的域 从中提供的唯一外部IP地址。在实践中,这 意味着如果您在单个IP地址/服务器上有多个域, 那么你必须在每个域上安装一个单独的证书 我想保证安全。
原因是使用'Host-Headers'。他们允许一个 Web服务器使用单个IP地址来为许多单独的站点提供服务 具有不同的FQDN。他们通过识别传入的请求来做到这一点 对于网页,并相应地将其路由到正确的网站。
启动SSL连接时,服务器必须发送一个 证书到客户端 - 在它知道主机头之前 请求。它唯一识别的数据是请求的IP 地址。因此,一个IP地址上的两个或多个站点无法使用 不同的SSL证书......
答案 0 :(得分:4)
Q1> Web服务器不需要知道SSL证书中嵌入的域。只有浏览器才会这样做,因为它确保证书中的域与地址栏中的域匹配。无论证书中包含哪个域,Web服务器都只提供绑定到IP地址的证书。
Q2>您描述的是SAN或UC证书。它们旨在执行您所声明的操作,即允许多个域在一个IP地址上共享一个证书。查看此link on Subject alternative names了解详情