Virtualização e múltiplos SSL, é possível?

1

Sou totalmente novo em virtualização, mas queria saber se isso era possível.

Eu sei que usar vários SSL em um host não é simplesmente possível (requer um caractere curinga ou alguma manipulação estranha aparentemente não funcional em todos os navegadores).

Então, eu estava pensando em criar vários servidores virtualizados, com, para cada um, uma instância de um servidor apache ou nginx, com diferentes certificados SSL.

Mas isso é possível?

Para ser claro, aqui está um esquema:

   Host A (ip: 1.2.3.4)
       Virtual server 1 with NGinx
           For: https://www.example.com (with SSL for www.example.com)
           For: http://www.exp.com

       Virtual server 2 with NGinx
           For: https://www.anotherexample.com (with SSL for www.anotherexample.com)
           For: http://www.anoexp.com
           For: http://www.anoexp2.com

       Etc

Onde fiquei impressionado, é que, pelo que aprendi, o certificado SSL começa ANTES de enviar o nome do host para o servidor, então o servidor (virtual ou não) não sabe onde endereçar o pedido e, ao fazê-lo, don ' Não sei qual certificado usar.

Para ser o mais conciso possível, gostaria de usar dois sites distintos https em meu único servidor e esperava que fosse possível usar a virtualização, mas não sei nada técnico sobre isso.

Desculpe se não estou muito claro, também é um pouco confuso para mim.

Obrigado pela sua ajuda, eu agradeço!

    
por Cyril N. 02.06.2011 / 15:36

3 respostas

4

Acho que você tem um pouco de mal-entendido sobre algumas coisas.

1) As implementações SSL mais amplamente suportadas exigem 1 certificado por IP não por host. Você pode ter um único servidor com vários IPs e hospedar sites diferentes em cada IP e atribuir certificados SSL diferentes para cada um deles sem problemas.

2) Em um ambiente virtualizado, cada uma de suas VMs terá diferentes IPs e nomes de host, eles não compartilharão um IP com o host na maioria das circunstâncias.

Tudo o que o # 2 está fazendo está tomando o caminho para o # 1. Se você não requer a separação lógica que o # 2 fornece, você deve ficar com o número 1.

    
por 02.06.2011 / 15:40
1

Sim, isso é possível com e sem virtualização. Você não está limitado a um único site SSL por servidor. Com a tecnologia tradicional, você está limitado a um único site SSL (um certificado, potencialmente vários sites ...) por endereço IP.

O SNI está mudando isso, permitindo vários certificados basicamente enviando o cabeçalho do host antes de negociar SSL ou TLS. Não é amplamente adotado ainda, e você realmente não pode confiar no John Public para ter a tecnologia necessária (embora para uso interno você possa controlar o ambiente o suficiente para fazê-lo funcionar de forma confiável).

    
por 02.06.2011 / 15:40
0

Parece que você deve atribuir um endereço IP separado para cada servidor HTTPS ou apenas usar um certificado SSL com vários nomes

Verifique este documento: link

    
por 02.06.2011 / 15:46