O Azure suporta certificados SSL UCC / SAN?

Navegue suas respostas
6

Eu tenho um aplicativo Web do Azure com 15 nomes de domínio associados (ou seja, todos os nomes de domínio mapeiam para o mesmo aplicativo).

Eu preciso fornecer SSL para todos os 15 domínios, apontando para o mesmo aplicativo da Web.

Minhas observações até agora:

  • A ligação SSL convencional requer um endereço IP por domínio, por isso precisaria de 15 endereços IP para esse aplicativo Web.

  • O Azure Web App fornece apenas um único IP por aplicativo da Web, a menos que eu compre IPs adicionais por US $ 39 / cada. Eu quero evitar a compra de 15 IPs adicionais.

  • Eu poderia criar 15 aplicativos Web no mesmo Plano de Serviço de Aplicativo, mas parece que todos usam o mesmo endereço IP externo, desde que estejam no mesmo plano de serviço de aplicativo, correto?

  • O esquema de ligação SNI mais recente pode ser usado com um endereço IP único em vários domínios, mas não é suportado em navegadores mais antigos, como o IE no WinXP (mais ou menos a única limitação do SNI que encontrei)

  • Eu gostaria de evitar as ligações SSL do SNI, já que temos uma quantidade decente de receita proveniente de usuários do Windows XP / IE que não podem suportar SNI.

Dados meus requisitos:

  • Suporta SSL para 15 nomes de domínio no único Plano de Serviço de Aplicativo (uma ou várias instâncias de aplicativo da web)
  • Evite comprar IPs adicionais, se possível
  • Evite o SNI, se possível

... parece-me que a única opção razoável que resta é um certificado SSL UCC / SAN, correto?

Se sim, quando tentei comprar um "Certificado de Serviço de Aplicativo" via Azure, recebi a seguinte caixa de informações que indica que os certificados UCC não são uma opção (pelo menos para compra):

Minha pergunta é:

a.) Atendendo aos meus requisitos, meu plano para usar um certificado SAN é o curso apropriado?

b.) O Azure ainda oferece suporte a certs UCC / SAN para um cenário como este? Eu não quero comprar o certificado apenas para descobrir que não posso usá-lo da maneira que pretendo.

Obrigado antecipadamente!

    
por Simon Ordo 01.03.2017 / 00:12

3 respostas

1

O Azure suporta o certificado SSL UCC / SAN. Mas, de acordo com sua imagem, você tentou adquirir esse tipo de certificado ssl por meio do 'Certificado de Serviço de Aplicativo' do Azure, por isso não conseguiu encontrar a opção de certificado UCC / SAN. Então, compre de um provedor SSL confiável.

Se todos os seus 15 domínios forem subdomínios de primeiro nível do domínio principal, você também poderá protegê-los com um certificado SSL de caractere curinga. Mas se eles são multi domínios como abc.com, app.abc.net, login.xyz.biz, signup.abc.org, então SAN SSL é a melhor opção para ir.

De acordo com suas necessidades:

Se você tem uma quantidade decente de receita de navegadores mais antigos do Windows XP / IE, então não vá para o SNI. Mas o SNI não ignora totalmente o navegador IE, mas algumas de suas versões. Leia mais em O SNI suporta qual navegador e servidor .

De acordo com suas perguntas:

  1. Ir para o certificado SSL UCC / SAN ao qual o Microsoft Azure oferece suporte.
  2. Se não quiser usar o SNI, use um endereço IP diferente para cada domínio que também é válido, mas no link SSL Bindings 'opção, você tem que selecione o tipo SSL como 'SSL baseado em IP'.
por 01.03.2017 / 11:24
0

Sim, o certificado SSL UCC / SAN será compatível com o Microsoft Azure.

Após a compra do certificado, você só precisa ativar o recurso SNI. Ele cobrirá todos os seus 15 domínios.

Certificados SSL que funcionarão (sugeridos pela Microsoft)

  • Comodo UCC SSL
  • SSL de domínio múltiplo Comodo
  • SSL de vários domínios True BusinessID GeoTrust
  • Certificado SSL do Thawte Web Server
por 01.03.2017 / 06:40
0

Sim, todos os seus 15 aplicativos da Web podem estar seguros no Serviço de Aplicativo do Azure configurando uma ligação de certificado SSL. O SAN SSL é uma solução ideal para proteger todos os aplicativos com um único certificado. O serviço de aplicativo do Azure abrange domínios personalizados e corresponde aos valores especificados de subjectAltName.

Para proteger todos os aplicativos da Web com um único IP, é essencial escolher o tipo SSL “SNI SSL” na opção de ligação SSL. Caso contrário, você precisará adquirir diferentes endereços IP para cada aplicativo da Web e selecionar a opção "SSL com base em IP". 

* IP based SSL associates a certificate with a domain name by mapping the dedicated public IP address of the server to the domain name. This requires each domain name (contoso.com, fabricam.com, etc.) associated with your service to have a dedicated IP address. This is the traditional method of associating SSL certificates with a web server.
* SNI based SSL is an extension to SSL and **[Transport Layer Security](http://en.wikipedia.org/wiki/Transport_Layer_Security)** (TLS) that allows multiple domains to share the same IP address, with separate security certificates for each domain. Most modern browsers (including Internet Explorer, Chrome, Firefox and Opera) support SNI, however older browsers may not support SNI. For more information on SNI, see the **[Server Name Indication](http://en.wikipedia.org/wiki/Server_Name_Indication)** article on Wikipedia.

A Microsoft sugere usar o certificado assinado da CA porque os certificados autoassinados não são confiáveis para o navegador. De acordo com suas necessidades, você pode usar o Comodo Multi Domain SSL para preços mais baixos.

Fonte:

  1. link
  2. link
por 01.03.2017 / 13:10

Tags

Appengine preso em “Atualizando serviço [padrão]…” Atualize a janela 2012R2 Core para 2016 Core em branco