對於多個域的單個SSL

Question

我在IIS中有一個空白主機標題和50多個unqiue域都指向這一個站點的單個站點。是否有可用的通用SSL或通配符SSL，可以在網站上安裝，以便它可以與每個域一起使用？我知道存在通配符證書，但我認爲它們僅限於單個TLD。

我曾希望在單個站點上安裝多個證書，因爲每個域都已經購買了證書，但這不會發生。

我看了一下IIS 7 SSL for multiple sites with a single IP指向http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html它說我需要一個統一的通信證書http://www.sslshopper.com/unified-communications-uc-ssl-certificates.html

任何想法？統一認證會起作用嗎？

IIS 7.5

Answer 1

通配符SSL證書適用於單個域。對於你的情況，你必須有一個適用於每個域的證書，這可能不會那麼安全，例如，你可以欺騙hotmail.com

但是有一個屬性X509稱爲主題備用名稱（SAN）。這允許使用證書的固定域列表，但列表在發佈時固定。你的鏈接說它使用這種方法，但我很困惑他們爲什麼說他們主要是用於UC服務器，他們工作得很好，就像普通的舊的HTTPS證書一樣。我現在正在使用一個開發盒。

如果你認爲他們是專門做Verisign他們也一樣Entrust

Answer 2

原則上，每個服務器（意爲在服務器端回答客戶端的請求任何程序）can send only one certificate。它還會將證書鏈發送到根證書。

使用普通的SSL/TLS，握手在客戶端有機會指示它想要一個頁面的哪個域之前完成（這是在HTTP標頭中完成的），因此您在這裏沒有機會提供正確的證書。

一個常見的解決方案是，服務器具有多個IP-地址（每個域一個，或至少一個用於每個SSL證書），並因此可以通過IP地址，應使用哪個證書識別。 （我不知道IIS如何處理這一點，雖然。）

分配新的IP地址，獲取一個IPv4地址的日益珍異更多的問題，這和其他原因RFC 6066（及其前身）定義了服務器名稱 TSL延伸（擴展-ID 0），其允許客戶端包括在ClientHello消息（其開始握手）想要的服務器名稱，允許服務器以選擇正確的證書。

沒有嚴重的認證機構會給你*.com或類似的通配符證書，因爲這樣的證書，你可以假裝是幾乎任何人。證書可以列出多個域名，但我不知道是否有這些數量（包括IIS和通常的客戶端）的上限。