Вопрос: Поддерживает ли Azure сертификаты UCC / SAN SSL?


У меня есть Azure Web App, у которого есть 15 доменных имен, связанных с (то есть все имена доменов отображаются в одном приложении).

Мне нужно предоставить SSL для всех 15 доменов, указывая на одно и то же веб-приложение.

Мои наблюдения до сих пор:

  • Для обычной привязки SSL требуется один IP-адрес для каждого домена, поэтому мне нужно 15 IP-адресов для этого одного веб-приложения.

  • Azure Web App предоставляет только один IP-адрес для каждого веб-приложения, если я не приобрету дополнительные IP-адреса по цене 39 долларов США за каждый. Я хочу избежать покупки 15 дополнительных IP-адресов.

  • Я мог бы создать 15 веб-приложений под одним и тем же планом App Service, но похоже, что все они используют один и тот же внешний IP-адрес, если они находятся в одном и том же плане обслуживания приложений, правильно?

  • Более новая схема привязки SNI может использоваться с единственным IP-адресом для нескольких доменов, но не поддерживается в старых браузерах, таких как IE на WinXP (более или менее единственное ограничение SNI, которое я нашел)

  • Я бы хотел избежать привязок SSL SNI, поскольку у нас есть приличный доход от пользователей Windows XP / IE, которые не могут поддерживать SNI.

Учитывая мои требования:

  • Поддержка SSL для 15 доменных имен в одном плане обслуживания приложений (один или несколько экземпляров веб-приложений)
  • Избегайте приобретения дополнительных IP-адресов, если это возможно
  • Избегайте SNI, если возможно

... мне кажется, что единственным разумным вариантом является сертификат UCC / SAN SSL, правильно?

Если это так, когда я попытался приобрести «сертификат обслуживания приложений» через Azure, я получаю следующее информационное окно, которое подразумевает, что сертификаты UCC не являются опцией (по крайней мере для покупки):

enter image description here

Мой вопрос:

a.) Учитывая мои требования, мой план использования сертификата SAN для соответствующего курса?

б) Лазерная ли поддержка поддерживает сертификаты UCC / SAN для такого сценария? Я не хочу покупать сертификат только, чтобы узнать, что я не могу использовать его так, как я предполагаю.

Заранее спасибо!


6
2018-02-28 23:12


Источник




Ответы:


Azure поддерживает сертификат UCC / SAN SSL. Но в соответствии с вашим изображением вы пытались приобрести сертификат ssl этого типа с помощью Azure 'App Service Certificate', поэтому вам не удалось найти сертификат UCC / SAN. Поэтому купите его у доверенного поставщика SSL.

Если все ваши 15 доменов являются подчиненными доменами первого уровня основного домена, вы также можете защитить их с помощью подстановочного сертификата ssl. Но если они представляют собой несколько доменов, таких как abc.com, app.abc.net, login.xyz.biz, signup.abc.org, тогда SAN SSL - лучший вариант.

В соответствии с вашими требованиями:

Если вы получили приличную сумму дохода от старых браузеров Windows XP / IE, тогда не обращайтесь за SNI. Но SNI не полностью игнорирует браузер IE, но некоторые его версии. Подробнее о SNI поддерживает браузер и сервер,

По вашим вопросам:

  1. Перейти для сертификата UCC / SAN SSL, к которому поддерживает Microsoft Azure.
  2. Если вы не хотите использовать SNI, введите другой IP-адрес для каждого домена который также действителен, но в "Связывание SSL', вам нужно выберите тип SSL как «IP-протокол SSL».

1
2018-03-01 10:24





Да, сертификат UCC / SAN SSL будет поддерживаться в Microsoft Azure.

После приобретения сертификата вам просто нужно включить функцию SNI. Он будет охватывать все ваши 15 доменов.

SSL-сертификаты, которые будут работать (рекомендуется Microsoft)

  • Comodo UCC SSL
  • Comodo Multi Domain SSL
  • GeoTrust True BusinessID Multi Domain SSL
  • SSL-сертификат Thawte Web Server

0
2018-03-01 05:40





Да, все 15 веб-приложений могут быть защищены в Azure App Service, настроив привязку SSL-сертификата. SAN SSL - идеальное решение для защиты всех приложений с помощью единого сертификата. Служба приложений Azure охватывает пользовательские домены и соответствует указанным значениям subjectAltName.

Чтобы защитить все веб-приложения с помощью одного IP-адреса, очень важно выбрать SSL-тип «SNI SSL» в опции SSL-привязки. В противном случае вам необходимо приобрести различные IP-адреса для каждого веб-приложения и выбрать опцию «IP based SSL».

* IP based SSL associates a certificate with a domain name by mapping the dedicated public IP address of the server to the domain name. This requires each domain name (contoso.com, fabricam.com, etc.) associated with your service to have a dedicated IP address. This is the traditional method of associating SSL certificates with a web server.
* SNI based SSL is an extension to SSL and **[Transport Layer Security](http://en.wikipedia.org/wiki/Transport_Layer_Security)** (TLS) that allows multiple domains to share the same IP address, with separate security certificates for each domain. Most modern browsers (including Internet Explorer, Chrome, Firefox and Opera) support SNI, however older browsers may not support SNI. For more information on SNI, see the **[Server Name Indication](http://en.wikipedia.org/wiki/Server_Name_Indication)** article on Wikipedia.

Microsoft предлагает использовать сертификат, подписанный CA, поскольку самозаверяющие сертификаты не доверяют браузеру. В соответствии с вашими требованиями вы можете пойти с Comodo Multi Domain SSL для более низких цен.

Источник:

  1. https://www.ssl2buy.com/wiki/server-name-indication-sni-use-multiple-ssl-on-a-single-ip
  2. https://docs.microsoft.com/en-us/azure/app-service-web/web-sites-configure-ssl-certificate#bkmk_subjectaltname

0
2018-03-01 12:10