1. Dom
  2. Pytanie i odpowiedź
  3. Wiele witryn z włączoną obsługą SSL w maszynie wirtualnej Azure

Wiele witryn z włączoną obsługą SSL w maszynie wirtualnej Azure

2012-10-10 22 views
5

Zbliżamy się do końca wielu zmian, aby nasza aplikacja działała na platformie Azure i chcemy używać maszyn wirtualnych, a nie typowego sposobu wdrażania maszyn.Wiele witryn z włączoną obsługą SSL w maszynie wirtualnej Azure

Do końca zacząłem tworzyć listę kontrolną rzeczy, które muszę wykonać, i nie mogę znaleźć niczego, co byłoby możliwe przy użyciu wielu SSL na tej samej maszynie wirtualnej. Natknąłem się na niektóre posty na temat SNI, ale po przeczytaniu SNI nie obsługuje systemu Windows XP. Po zbadaniu naszej bazy użytkowników 1/3 naszych użytkowników uzyskuje dostęp z komputera z systemem Windows XP, który czyni SNI bezużytecznym.

Czy brakuje mi czegoś, ponieważ wydaje się to ogromnym niedopatrzeniem w architekturze, jeśli maszyna wirtualna nie obsługuje wielu certyfikatów SSL?

Czy ktoś ma coś działającego na platformie Azure, który obsługuje wiele SSL na jednym adresie VIP?

Źródło

2012-10-10 Chris Lomax

Odpowiedz

0

AFAIK masz następujący wybór:

  1. Używaj Sni z jednego IP
  2. konfiguracji domen do użytku innego niż standardowe porty SSL
  3. Zastosowanie jeden adres IP za SSL domeny.

Jedyna szansa będzie, jeśli wszystkie domeny są subdomenami jednej domeny. następnie najlepszym wyborem byłby certyfikat wieloznaczny.

BTW: SNI jest na WinXP nieobsługiwany tylko w IE. Inne przeglądarki takie jak Firefox, Chrome, Opera obsługują SNI na XP.

Źródło

2012-10-10 11:32:13 Robert

+0

Niestety, jesteśmy kreatywną agencją z wieloma klientami, wszystkie domeny będą inne. Po prostu sprawdzając swój komentarz do XP i IE, to 4/5 z 1/3, więc nadal jest bardzo wysoki. Jest to postać, której nie możemy zignorować. Czy mógłbyś rozwinąć punkt 2? Czy muszę się upewnić, czy uzyskuję dostęp ze strony HTTPS, która określa port? Jestem zawiedziony, że Microsoft wprowadził możliwość posiadania maszyn wirtualnych i nie obsługuje pewnego rodzaju powiązań IP. –

+0

Jeśli chcesz ustawić wiele domen SSL z jednym adresem IP bez SNI, istnieje możliwość użycia jednego portu dla każdej domeny. Ale będzie to widoczne dla użytkowników w pasku adresu. Co więcej, jeśli użytkownik chce odwiedzić "domain1.example", który działa na porcie 8443, ale wprowadza adres URL bezpośrednio "https: //domena.example" zamiast "https: // domain.przykład: 8443 "użytkownik zobaczy ostrzeżenie o zabezpieczeniach, ponieważ istnieje niezgodność między nazwą DNS a certyfikatem, ponieważ na porcie 443 działa inna domena, dlatego jest to IMHO tylko rozwiązanie dla serwerów wewnętrznych lub testowych. – Robert

+0

Tak, tak sądziłem, dziękuję Robert: Ogromny ból w dupie to tak, więc mam nadzieję, że Microsoft wyciągnie palec, zanim będę gotowy do pełnego wdrożenia na ich serwerach. Byłoby lepiej, gdybym mógł zmienić połączenie na podstawie nagłówków wysłanych, a potem mógłbym mapowałem do innego portu wewnętrznie, nie wiem nawet, czy jest to możliwe, ale miałem nadzieję, że to właśnie próbujesz uzyskać. –

1

Zgadzam się z Robertem.

Jestem technologicznym ewangelistą firmy Microsoft i niedawno pomogłem jednemu z moich partnerów wdrożyć rozwiązanie automatyzacji SNI dla usług w chmurze (szczegółowe wyjaśnienie i przykładowy kod "wtyczka &" "kod źródłowy pod adresem http://www.vic.ms/microsoft/windows-azure/multiples-ssl-certificates-on-windows-azure-cloud-services/).

Chociaż wiele statystyk wskazuje, że Internet Explorer działający w systemie Windows XP jest odpowiedni, w rzeczywistości może nie być dla odbiorców.

Na przykład, jeśli chcesz korzystać z SSL, ponieważ prowadzisz witrynę e-commerce, jestem przekonany, że Twoi odbiorcy (osoby posiadające kartę kredytową i chętni do korzystania z niej w przypadku zakupów internetowych) prawdopodobnie nie używają systemu Windows XP już więcej. Przynajmniej tak jest w przypadku kilkudziesięciu partnerów e-commerce, z którymi mam do czynienia w Brazylii ...

Źródło

2013-04-04 12:29:03

+0

To nie tylko IE na XP (który niektórzy ludzie nadal używają, czasami bez wyboru w świecie korporacyjnym), jest też mnóstwo urządzeń mobilnych, które nie obsługują SNI. – Bruno

0

Teraz możesz mieć wiele publicznych wirtualnych I/s na platformie Azure VM, co pozwala na wiele SSL, kosztem około 3 USD/miesiąc. Zobacz pricing i howto.

Źródło

2016-07-30 18:14:40

+0

Ten model działa, jeśli nie masz nic przeciwko umieszczeniu go za usługą w chmurze i posiadaniu portów wewnętrznych do zarządzania różnymi powiązaniami SSL. Działa to dobrze na IIS, ponieważ sam zarządzasz konfiguracją, ale mamy zainstalowany cPanel i to jest ból głowy podczas próby ustawienia różnych portów w cPanel. Ponadto całe zarządzanie odbywa się za pomocą klucza Powershell, ponieważ obecnie nie obsługuje tego wszystkiego poprzez interfejs Azure. Nie jest to duże zadanie do wykonania, ale znacznie trudniejsze jest zatwierdzenie czegoś za pomocą Powershell i mam nadzieję, że nie zabiorą całego klastra, niż interfejsu. –

Powiązane problemy

 Powiązane problemy