configure vários ssl certs na instância do Amazon EC2 em execução no Ubuntu 10.04

2

Eu preciso proteger dois domínios diferentes que estão na mesma instância do EC2.

Razão: 1 é um site de vendas. o outro é o aplicativo da web. Ambos precisam acessar o mesmo banco de dados MySQL.

EDITAR

Site de vendas significa o site em que os usuários visualizam meus planos de preços, etc. e se inscrevem. O webapp é um aplicativo da web SaaS ao qual eles têm acesso APÓS se inscreverem.

END de EDIT

Problema: o domínio webapp precisa estar usando um certificado SSL curinga que já foi adquirido.

o site de vendas precisa usar um certificado SSL padrão que também já foi comprado.

Alguém me disse que uma instância do EC2 só pode ter um endereço IP elástico.

E não posso ter mais de 1 certificado SSL no 1 endereço IP.

Encontrei este artigo link em usando um certificado UCC para solucionar esse problema.

Mas não tenho certeza se

  • a) que funcionará e eu não desejo gastar desnecessariamente dinheiro e desperdiçá-lo no final.
  • b) funcionará com um certificado curinga e padrão cert ao mesmo tempo.
  • c) usando o UCC derrotará acidentalmente os propósitos de acesso SSL para usuários.
  • d) como instalar e usar.
  • e) como ir sobre como obter um UCC desde que eu tenho ambos Certificados SSL da GoDaddy.

Outra possível solução que posso prever é que recebo a webapp hospedada em uma instância do EC2 e o site de vendas hospedado em outra instância do EC2 que, naturalmente, duplicará meus custos mensais de hospedagem.

então o problema surge onde minha programação assume que ambos os aplicativos precisam estar no mesmo servidor que acessam o mesmo banco de dados MySQL.

Qual é a melhor saída para mim - em termos de segurança, em termos de confiabilidade, em termos de esforço, em termos de custos, em ordem decrescente de importância?

Coisas que aprendi

  • 1 certificado SSL para 1 IP: porta não 1 certificado SSL para 1 IP
  • existe uma coisa chamada certificado SSL do UCC, não tenho certeza do que isso significa, além de permitir que você tenha SSL para vários domínios ao mesmo tempo usando apenas 1 IP: PORT
  • há algo chamado ELB Elastic Load Balancer que permite superar o IP em 1 instância do EC2

Fim das coisas que aprendi

    
por Kim Stacks 21.02.2011 / 02:56

1 resposta

1

Você pode ter mais de 1 certificado SSL por IP, mas não pode ter mais de 1 certificado SSL para cada combinação IP: porta. Se você estiver disposto a tentar executar um dos certificados SSL em uma porta não padrão (qualquer coisa menos 443), poderá usar um único endereço IP.

Você pode exibir facilmente um certificado SSL diferente em portas diferentes.

Acontece que isso pode ser facilmente implementado com o Elastic Load Balancer. Você pode redirecionar a porta 443 em vários IPs do balanceador de carga elástico para portas diferentes na sua instância.

Alguém teve a gentileza de escrever um bom tutorial, completo com diagramas:

O certificado "UCC" ao qual você está se referindo é um certificado com muitos nomes no campo SubjectAltName. Já que você já tem um certificado curinga, pode achar que está limitando - quantos nomes de domínio diferentes você está cobrindo com o curinga? Uma vantagem de um certificado baseado em SAN é que ele pode abranger vários domínios, mas você precisará enumerar cada nome de domínio individualmente ao solicitar o certificado, em vez de permitir que um navegador corresponda ao certificado curinga.

    
por 21.02.2011 / 03:20