É uma solução para ter vários certificados SSL no mesmo IP

Navegue suas respostas
1

Estou executando o CentOS em execução em um VPS. Eu li alguns guias sobre ter vários certificados SSL no mesmo sistema, mas não consigo fazer o básico funcionar.

O guia que obtive que faz mais sentido para mim é o seguinte. No CentOS eu posso fazer placas de rede virtuais. Então eu fiz 2 NICs virtuais para começar. 192.168.10.1, 192.168.10.2.

Agora eu trabalho no ISP manager Pro, então isso está escutando no meu ip primário 1.1.1.1

Para cada site eu os ouço em 192.168.10.1:80, 192.168.10.1:443

No arquivo hosts, fiz as duas entradas a seguir

192.168.10.1 1st.com 192.168.10.2 2nd.com

Agora, o estranho é que quando eu navego para 1st.com eu não obtenho o site localizado em 192.168.10.1, recebo o site localizado no meu prim IP 1.1.1.1

Should I do something like forwarding or routing for this setup to work?

E a pergunta básica: essa configuração funcionará? Os certificados SSL são baseados no endereço IP, ou são baseados no nome do host, 1st.com e 2nd.com.

Recurso: Hospede vários sites SSL em uma única placa de rede com o alias de IP

    
por Saif Bechan 01.05.2010 / 04:09

3 respostas

1

Normalmente, há um certificado por vez por endereço IP, porque o servidor confirma o certificado durante o handshake inicial (antes de ver o cabeçalho do Host HTTP). Mas a Indicação do Nome do Servidor (SNI) muda isso, permitindo que o cliente envie o Host do servidor durante o handshake TLS.

Eu não acho que você esteja no caminho certo. Supondo que você queira que seus dois sites sejam publicamente acessíveis, em algum momento você terá que especificar (através do DNS), que 1st.com e 2nd.com estão em x.x.x.x (um IP público). Então, você precisa usar o SNI para distinguir entre eles. Não há necessidade de NICs virtuais ou IPs locais.

    
por 01.05.2010 / 04:19
0

O que você quer fazer é possível - é como eu executo cerca de 30 sites habilitados para SSL em um único servidor.

Se você quiser fazer isso sem usar o SNI (que a maioria dos navegadores Win XP não suporta AFAIK), você precisará de dois endereços IP públicos - 1.1.1.2 e 1.1.1.3. Em seguida, dependendo do suporte do seu provedor de hospedagem, você pode fazer o seguinte:

  1. Configure esses endereços IP públicos nas suas duas NICs virtuais - por exemplo, eth0: 1 é 1.1.1.2, eth0: 2 é 1.1.1.3. Em seguida, configure o (s) servidor (es) da Web de forma apropriada e verifique se as entradas de DNS para 1st.com e 2nd.com apontam para esses endereços IP públicos.
  2. Deixe os endereços particulares em suas NICs virtuais e obtenha a Tradução de endereços de rede entre 1.1.1.2 e 192.168.10.2 e entre 1.1.1.3 e 192.168.10.3 e garanta que as entradas de DNS para 1st.com e 2nd .com apontam para esses endereços IP públicos.

Quando você diz que adicionou essas entradas ao "arquivo hosts", o arquivo hosts está no seu servidor ou no PC de mesa de onde você está navegando? Quais são as entradas de DNS associadas ao 1st.com e 2nd.com? Se ambos estiverem apontando para o endereço IP 1.1.1.1 no DNS, isso pode explicar por que você acaba no site do ISP Manager quando você procura o link . Eu também verificaria o endereço IP que o gerenciador ISP está configurado para escutar - pode ser apenas pegar as portas 80 e 443 em todos os endereços IP disponíveis no servidor.

    
por 01.05.2010 / 12:30
0

Sem o SNI, você só pode ter um certificado por endereço IP público. Até que o SNI seja totalmente suportado, sua melhor opção é usar um único certificado de Comunicações Unificadas que inclua todos os nomes de host que você precisa proteger.

    
por 03.05.2010 / 06:08

Tags

Quais são as principais vantagens dos produtos de virtualização da Microsoft em relação a outros produtos de virtualização (Citrix, Vmware, IBM) no mercado? cluster live postgres 8.3 servidor