在同一个服务器(同一个IP)为不同域名绑定的免费SSL证书

越来越多的浏览器不在支持http协议了,这就要求你为你的网站必须绑定SSL证书。谷歌浏览器也将要在今年取消对http协议的支持,申请CA证书迫在眉睫。我购买有两个域名,一个虚拟机,没事鼓捣鼓捣,图个乐趣。在阿里云申请了免费证书,一直用的好好的。这次过年恰遇证书更新,想一起把所有域名都升级到https。购买两个证书分别绑定域名。顺带说一下如何阿里云购买免费域名,现在已经不太容易找到免费域名购买按钮了。

【动图示意购买免费CA】

购买完成,并分别绑定www.a.com和www.b.com 后,访问a.com一直提示CA错误,发现CA证书来自www.b.com 一度怀疑自己绑定错误了域名,吊销证书又重新购买,问题依旧。在IE中没有有用的提示信息,在谷歌中会提示证书错误,且可以发现错误证书信息:

这个问题早在2012年就被发现并且提出的解决办法,参考英文请点击跳转。 阿里云的解决方案

Problem

As more e-commerce sites come on line and more businesses are storing and sharing sensitive documents online, the ability to host and scale secure sites are increasingly more important. Prior to Windows Server 2012, there were a couple of challenges when it comes to hosting secure sites:

随着更多电子商务网站上线,越来越多的企业在线存储和分享敏感信息,托管和确保安全网站的能力变得尤为重要,win server 2012之前,当托管SSL站点时有两个挑战:

SSL Scalability: In a multi-tenanted environment, such as a shared hosting, there is a limitation as to how many secure sites can be hosted on Windows Server, resulting in a low site-density.

SSL的可伸缩性:在多站点环境下,比如一个共享的服务器,托管的安全网站数量收到限制(只允许一个),导致安全网站密度很低。

IPv4 scarcity: Because the network end-point can only be identified with IP:Port binding, where tenants request to use the standard SSL port, 443, hosting a secure site often means offering a dedicated IP address per tenant.

IPv4地址不足,因为互联网上的一个终端仅能靠一对IP:Port来访问,当每个站点使用标准端口443时,意味着需要为每一个站点提供专用的IP地址。

Solution

On Windows Server 2012, IIS supports Server Name Indication (SNI), which is a TLS extension to include a virtual domain as a part of SSL negotiation. What this effectively means is that the virtual domain name, or a hostname, can now be used to identify the network end point. In addition, a highly scalable WebHosting store has been created to complement SNI. The result is that the secure site density is much higher on Windows Server 2012 and it is achieved with just one IP address.

It should be noted that in order for this feature to be used, your client browsers have to support SNI. Most modern browsers support SNI; however, Internet Explorer (of any version) on Windows XP does not support SNI.

解决方案是针对win server 2012的II7-IIS8,具体办法可以参考原文,本文仅针对IIS8.5来说明:

文中提到的SNI(Server Name Indication)中文名称是:需要服务器名称指示(如图), 这是一个一般人很难理解的中文翻译,记住,他就是SNI。

另外非常重要的是:

  1. 无论你访问任指向本服务器的域名,如果所有网站都没有勾选SNI,那么任何针对这个IP:Port的CA请求,都将返回第一个绑定的CA证书。
  2. 如果第一个站点没有勾选,效果同第一条相同。

所以最好的解决办法是:所有站点都选择勾选SNI。

原文地址:https://www.cnblogs.com/68681395/p/8462893.html

时间: 2024-11-09 09:39:20

在同一个服务器(同一个IP)为不同域名绑定的免费SSL证书的相关文章

域名阿里云免费ssl证书配置安装

去阿里云盾申请 成功后下载 有三个文件******.com_public.crt ******.com.key *******.com_chain.crt Apache安装配置SSL证书方法教程(普通版) https://www .wosign.com/support/ssl-Apache1.htm 把正书放在了/usr/local/apache/conf/ssl 里面(自己创建的ssl) 修改了/usr/local/apache/conf/extra下面的httpd-vhosts.conf <

hosts文件该怎么设置?将IP地址与域名绑定的教程

如何绑定hosts文件?怎么将IP地址与域名绑定?作为小编肯定需要hosts来绑定公司ip地址,但是很多人不知道怎么修改设置hosts呢?下面分享将IP地址与域名绑定的教程,需要的朋友可以参考下 什么是Hosts文件? Hosts是一个没有扩展名的系统文件,主要作用是定义IP地址和主机名的映射关系,就是将一些常用的域名网址与其对应的IP地址建立一个关联"数据库",当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的IP地址,如果找到,系统会立即打开对应网

[从零开始搭网站六]为域名申请免费SSL证书(https),并为Tomcat配置https域名所用的多SSL证书

点击下面连接查看从零开始搭网站全系列 从零开始搭网站 由于国内的网络环境比较恶劣,运营商流量劫持的情况比较严重,一般表现为别人打开你的网站的时候会弹一些莫名其妙的广告...更过分的会跳转至别的网站. 那么为了解决这种情况,那么我们就要申请SSL证书,并且配置服务器. 并且,我准备再学习并写一个微信小程序,而微信小程序所有接口都需要走https,那么全线https就势在必行. 目前免费https其实有很多家,我之前出过一个教程是 用Let's Encrypt实现Https(Windows环境+To

腾讯云,体验域名注册解析与SSL证书

体验域名注册解析与SSL证书 购买域名 任务时间:30min ~ 60min 在腾讯云上购买域名 首先需要在腾讯云上购买域名, 点击以下链接可以观看购买操作的指引 如何在腾讯云上购买域名 域名解析 域名购买完成后, 需要将域名解析到此服务器上,此服务器的IP是 <您的 CVM IP 地址> 点击下面的链接观看如何在腾讯云上解析域名 如何在腾讯云上解析域名 检查域名生效 域名设置解析后需要过一段时间才会生效,通过 ping 命令检查域名是否生效,如: ping 你申请解析的子域名 如果 ping

【转】七牛免费SSL证书,配置自定义域名CDN加速

原文链接:https://excaliburhan.com/post/use-qiniu-ssl-and-cdn.html 申请七牛SSL证书 其实,七牛在很早之前就支持CDN使用https,但是他要求证书的有效期是一年及以上,而我的主站用了Let's Encrypt的免费SSL证书,有效期90天,自动续签的形式.所以,为了使CDN的图片也是https的,一直采用了七牛默认的xxx.qnssl.com域名. 在11月,七牛发布了免费SSL证书,亚洲诚信的DV证书.申请起来也很简单,参见七牛SSL

zabbix企业应用之监控域名过期时间与ssl证书过期时间

如果各位维护过n多个域名,可能会对备案与续费有所了解,备案是十分麻烦,各种流程,而续费的话,虽然比较简单,但如果你没有提前续费,可能导致域名不可用,甚至被他人给恶意注册,为了解决这样的问他,我今天给各位分享一下,如何使用zabbix监控域名过期时间与ssl证书过期时间,默认的触发器是在域名或ssl证书要过期前60天通知. 下面是监控域名过期时间的效果图 下面是监控ssl证书过期时间效果图 如何实现: 一.客户端 1.修改zabbix_agentd.conf文件 在zabbix_agentd.co

GeoTrust 企业(OV)型 多域名(SAN/UC)版 SSL证书

  GeoTrust 企业(OV)型 多域名(SAN/UC)版 SSL证书(GeoTrust True BusinessID With  Multi-Domain(SAN/UC) ),支持多域名,属于企业验证(OV)级别的SSL证书,验证域名所有权,验证企业单位信息,提供40位/56位/128位,最高支持256位自适应加密,被2048位的根证书签名,您可以放心的使用.同时,为用户免费提供无法仿冒的 GeoTrust安全签章(GeoTrust Secure Seal),使得用户能确信不仅机密信息被

如何申请沃通多域名免费SSL证书

Let's Encrypt计划2015年夏天推出免费SSL加密服务,你是不是高兴得不行.等得跳脚?不过,不要忘了那是别人家的组织,在中国将如何应用,还待商榷呢. 今天推荐一款免费的多域名DV SSL证书,不用等到夏天,就能免费给自己各个小站用上SSL加密.这款多域名DV SSL证书是国内一家商业CA沃通WoSign以前的收费产品,在2015年1月份全面开放免费,支持一次性申请2年期证书,最高支持100个域名!而且是全中文的申请界面,申请步骤简洁,你要不会部署,还可以找他们的技术支持发教程,指导一

Tomcat绑定多个IP地址 多域名绑定

http://blog.csdn.net/stevenyanzhi/article/details/6029776 Tomcat绑定多个IP地址 如果一台服务机上有多个IP地址又有多个工程如何一个IP地址对应绑定每一个工程呢? 下面做了一个简单的记录: 找到Tomcat 5.0/conf/server.xml 搜索<Host name="localhost1" debug="0" appBase="/webapps"        unpa