Vários nomes de domínio para sites do IIS com SSL

3

Primeiramente, essa não é uma questão sobre subdomínios ou cabeçalhos de host e SSL.

O que eu quero saber é que posso criar uma solicitação de certificado ou encontrar um provedor de certificado que emita um certificado com vários CNs (Nomes comuns), de modo que o acesso seguro a link --ou- link não parece ser incompatível com o CN no certificado SSL?

ANTECEDENTES

Temos um aplicativo de comércio eletrônico que executa um link . O aplicativo também possui uma parte segura, acessada como link . Esta é uma configuração muito normal, com exceção do uso de um certificado curinga SSL (* .abcde.com) porque o subdomínio pode variar dependendo do uso comercial deste aplicativo. Essa variação de subdomínio / nome de domínio do aplicativo tem a ver com personalizar sua porcentagem de aparência e corte de transação para parceiros selecionados.

Agora, temos um uso comercial desejado do mesmo aplicativo em que ele seria acessado por meio do link e, é claro, ter uma parte segura acessada como link .

Isso representa um problema porque meu certificado foi emitido para * .abcde.com. De acordo com Ken Schaefer , é possível gerar um CSR com vários CNs.

Você já ouviu falar de vários CNs em um certificado? Você sabe como criar um CSR para isso? E qualquer fornecedor de certificado atenderá a uma solicitação como essa?

    
por Clint Miller 17.08.2009 / 18:57

3 respostas

1

Você deve conferir algo chamado Certificados de Comunicações Unificadas.

Olhando aqui pode ajudá-lo a começar a estrada que você quer ir: link

    
por 17.08.2009 / 19:26
1

Por fim, cabe à política da CA decidir quais campos consumir do seu CSR. Muitos levam o CN. Ou um deles.

Normalmente, vários domínios são adicionados ao mesmo Certificado em subjectAlternativeName cabeçalhos, e não em nome comum. O CACert permite que você envie CSRs com muitos SANs.

Por que os outros não? Eles querem o seu dinheiro. Portanto, a Microsoft e pelo menos três CAs inventaram uma nova maneira de tirar seu dinheiro explorando a tecnologia existente com novas regras. Estes são os Certificados de UC ligados pelo IceMage.

    
por 17.08.2009 / 20:10
0

Em uma palavra, não ...

Como eu estava lendo sua pergunta, meu pensamento inicial foi "certificados SSL curinga", mas não é isso que você está tentando fazer ... você está tentando usar DOMÍNIOS MÚLTIPLOS sob o mesmo SSL.

Atualmente, não sei de nenhum emissor de SSL que faz esse tipo de coisa. Você pode se safar com certificados auto-assinados ... mas então seu navegador vai começar a reclamar ... então isso não é bom.

Acho que a sua melhor / única opção real aqui é ter um certificado SSL separado para cada nome de domínio exclusivo, mas isso representa outro problema.

Todo certificado SSL exigirá um endereço IP separado (supondo que você queira executar a porta padrão para isso).

Dependendo de quantos domínios estamos falando ... acho que você tem duas opções:

  1. Registre um novo certificado SSL para cada domínio diferente ao qual você deseja oferecer suporte e configure seu servidor da web de acordo. (ou seja, domínios virtuais)

  2. Registre um domínio genérico como "secure-ssl-server.com" e compre um único certificado curinga e nomeie seus subdomínios de acordo. (ou seja, abcde.secure-ssl-server.com, qwert.secure-ssl-server.com, wxyz.secure-ssl-server.com, etc.)

Pessoalmente, se você puder se safar, eu seria a favor da opção # 2 como sua maneira mais fácil de manter um único certificado curinga do que com vários tipos de certs.

Espero que isso ajude.

    
por 17.08.2009 / 19:38