Certificado SSL vinculado a Alias. Então, é possível usar o mesmo certificado para vários alias no mesmo servidor?

1

Eis a minha primeira pergunta: SSL no IIS & Tomcat rodando no mesmo servidor e atendeu. Obrigado.

Estou no processo de migrar nossas webapps de dois servidores para um servidor. Esses aplicativos da Web agora estão sendo acessados por meio de três diferentes aliases.

No final, após a migração, moverei os três aliases para este servidor.

Os aplicativos da Web estão sendo executados no IIS (porta padrão) e no Apache Tomcat 7.x (porta 8080).

Tudo está bem até agora. Eu quero apresentar o SSL. Então solicitei um certificado do nosso gerente de certificação da empresa e, no aplicativo, dei o nome como um dos alias e não o nome do servidor.

Minha pergunta aqui é se eu poderia usar o mesmo certificado no IIS e no Tomcat, mesmo que seja solicitado com um alias "A" ou eu preciso aplicar vários certificados para cada alias?

    
por KK99 11.05.2017 / 14:46

1 resposta

2

Depende de como o seu sistema está configurado.

Se você estiver solicitando um serviço em b.example.com , mas seu certificado cobrir apenas a.example.com , então, tecnicamente, o serviço funcionará, mas somente depois de gerar um erro de certificado. Esse erro de certificado é porque seu nome de host não corresponde ao que o certificado está enviando. O usuário verá uma mensagem de erro assustadora.

Existem três soluções principais aqui:

  1. Obtenha um certificado que cubra seus três aliases, digamos a.example.com , b.example.com , c.example.com (esses são chamados de certificados SAN, em que SAN significa o Nome alternativo do assunto). Dessa forma, o único certificado é válido para todos os três desses serviços
  2. Obtenha três certificados individuais. Isso pode ser mais barato do que obter um certificado de SAN porque às vezes os provedores de SSL optam por cobrar um pacote de dinheiro por um certificado SAN (porque podem)
    • Se todos os seus usuários estiverem em navegadores e dispositivos modernos, e seu servidor da Web suportar, você poderá usar SNI (Server Name Indication) e colocar todos os três certificados em um único endereço IP
    • Se seus usuários estiverem em navegadores ou dispositivos mais antigos, ou seu servidor da Web não suportar SNI, você precisará atribuir três endereços IP à sua caixa e vincular cada certificado a um único endereço IP
  3. Obtenha um certificado curinga para *.example.com . Às vezes isso é mais barato e mais fácil do que obter uma SAN ou vários certificados individuais. Mas ele não suporta a cobertura, digamos que a.example.com e a.example.org e foo.a.example.com como um caractere curinga são válidos apenas para um nível em um domínio (a menos que você combine uma SAN com curingas, mas isso se torna realmente rápido).

Depois de ter descido a sua rota, você pode usar esse certificado várias vezes se mantiver sua chave privada intacta. Basta instalar a chave privada e os certificados em ambos os servidores da Web para continuar a exibir o mesmo certificado nas duas caixas durante a migração.

    
por 11.05.2017 / 14:58