Nginx: é possível usar certificados SSL de autoridades diferentes em um endereço IP?

1

Gostaria de saber se é possível ter dois hosts virtuais Nginx no mesmo endereço IP da v4. Eu sei que existe o SNI, mas tenho dois certificados SSL básicos (sem SAN, sem curingas) de duas autoridades de certificação diferentes para fazer o live juntos em um endereço IP.

Basicamente, é suficiente configurar dois arquivos conf (um por host virtual) cada um apontando para sua própria KEY e CRT? Ou existem outras questões?

Eu tentaria a solução sozinha, se eu pudesse, mas CAs querem dinheiro para certificados e eu prefiro pedir o segundo certificado apenas se eu tiver certeza de que posso fazê-lo funcionar. N.B. Eu não comprarei o segundo certificado da primeira CA, o suporte deles foi péssimo e eu quero deixá-los.

    
por Dario Fumagalli 05.03.2015 / 15:58

2 respostas

1

Certificados de CAs diferentes não são um problema, desde que os clientes confiem nessas CAs.

Servir vários sites com certificados diferentes no mesmo IP, independentemente de quais CAs assinaram os certificados, é o que tem algumas limitações em termos de compatibilidade.

O suporte a vários certificados em um IP, requer suporte para uma extensão TLS chamada Server Name Indication (SNI) no servidor e no cliente. Isso não é um problema se estiver lidando com navegadores modernos, mas pode ser um problema se você tiver que lidar com o software cliente legado.

O artigo da Wikipedia sobre o SNI tem uma lista de software incompatível não exaustiva com destaques como o Internet Explorer em Windows XP, o navegador padrão no Android 2.x, Java antes de 1.7, etc.

    
por 05.03.2015 / 19:21
0

O único problema é a compatibilidade com o cliente, uma combinação muito antiga de navegador / sistema operacional não funcionará, especialmente o Windows XP / IE8. Tudo o resto (Chrome, Opera, Firefox, etc.) no Windows XP funcionará.

Você não precisa comprar nada, assinar um dos certificados (ou todos eles). A CA de assinatura não importa no lado do servidor, apenas no cliente, e se você importar sua CA para o navegador, ela se comportará exatamente como se eles fossem assinados pela autoridade de certificação paga.

    
por 05.03.2015 / 16:11