我正在一个AWS实例上托pipe多个域。 这些域都共享相同的底层代码库,但我们在各个域上提供“白标签”服务。 每个域(foo.com,bar.com,baz.com)都将拥有自己的SSL证书。
我已经做了一些研究,看起来是否有冲突(大多是过时的),是否需要为每个SSL证书指定一个专用的IP地址。
我需要每个SSL证书的专用IP地址吗?
如果您可以安全地将支持的服务客户端限制为支持服务器名称指示的系统,那么只有一个IP地址就足够了。
请参阅本文以获取支持的客户端列表。
这可能需要一些Web服务器重新configuration。 但是你可以configuration你的https虚拟主机使用不同的本地私有IP地址,并有一个像Nginx这样的反向代理SSL服务器来处理所有的传入的https连接。
这是我克服这个确切的限制。 https://www.rubysecurity.org/nginx_reverse_ssl-proxy
是的,如果您希望用户使用任何操作系统上的任何浏览器浏览您的网站,则需要专用的IP地址。
如果您使用的是称为SNI(服务器名称指示)的东西,那么您不需要每个SSL证书的专用IP地址,但并非所有浏览器都支持SNI。
CloudFlare为免费客户提供免费的SSL证书是同样的事情,但使用Windows XP SP3的旧版浏览器的用户无法使用Chrome上的SNI浏览网站。 即使网站已启动并运行,它们也会收到错误消息“ERR_CONNECTION_REFUSED” 。
Ref: 服务器名称指示