1. дома
  2. Вопрос и ответ
  3. Можем ли мы использовать один сертификат SSL на двух разных хостингах

Можем ли мы использовать один сертификат SSL на двух разных хостингах

2014-09-08 2 views
1

У меня есть домен domain.com и сертификат SSL, купленный для того же домена. У нас есть два разных сервера, установленных на AWS один экземпляр (один IP) - сервер приложений, а другой - сервер xmpp. Мы обращаемся к серверу xmpp, используя порт (server.com:port). Нам удалось использовать один сертификат SSL для обоих серверов. Теперь, когда количество запросов увеличилось на сервере, мы решили сохранить сервер xmpp на другом экземпляре AWS. Теперь мы получаем xmpp-сервер как ip_address: порт. Нам не нужен домен для доступа к серверу xmpp. Но используемый сертификат недействителен.Можем ли мы использовать один сертификат SSL на двух разных хостингах

Я не серверный парень. Есть ли способ справиться с этим?

источник

2014-09-08 SangamAngre

ответ

3

SSL-сертификат привязан к домену, а не к серверу. Теоретически любое количество серверов может использовать один и тот же сертификат, но он будет действителен только в том случае, если к серверу обращаются через правильный домен. Для доступа к обоим серверам вам необходимо использовать домен, а не IP.

Если это подстановочный знак, вы можете разместить сервер в подобласти, например xmpp.server.com.

Вы можете дать XMPP service records попытку. Я не знаю, проверен ли сертификат в отношении домена в записи SRV или в отношении исходного домена. Я предполагаю, что это против домена SRV, а это значит, что это не поможет, но, возможно, стоит попробовать.

В противном случае вам нужно, чтобы один IP-адрес продолжал обрабатывать обе службы. Рассматривали ли вы пересылку портов XMPP с веб-сервера на сервер XMPP через правила брандмауэра?

Примечание: RFC 3920 (XMPP ядро), раздел 5.1 (Использование TLS), Правило № 8:

Сертификаты должны быть проверены на имя хоста, как это предусмотрено в инициирующего объект (например, , пользователь), а не имя хоста, разрешенное с помощью системы доменных имен ; например, если пользователь указывает имя хоста «example.com», но поиск DNS SRV [SRV] возвращает «im.example.com», сертификат ДОЛЖЕН быть проверен как «example.com».

Это, по-видимому, означает, что запись SRV должна позволить этому работать. Кажется, что not all clients always follow this spec.

источник

2014-09-08 17:35:41

+0

Обратите внимание, что RFC 3920 устарел. – Flow

+0

Сертификат, утвержденный против «исходного домена» – vitalyster

Смежные вопросы

 Смежные вопросы