LINUX.ORG.RU
ФорумAdmin

SSL сертификат


0

0

Привет.
Я установил онлайн магазин, и мне теперь нужно ssl сертификат.

Можно ли установить один сертификат на server debian, и потом подписывать каждый сайт
на этом сервере, или мне нужно каждый сайт отдельно подписывать ?

Просто прогуглил по сертификату, и не совсем разобрался, там их так много разновидностей,
решил у спецов сразу спросить=)


по-хорошему, на каждый сайт свой.

В теории, если у тебя есть валидный сертификат то ты им можешь другие сертификаты подписывать(сделать свой certificate authority и будет certificate chain), что будет на практике не знаю, проги могут ограничивать длину цепочки сертификатов.

true_admin ★★★★★ ()

Если магазин, то сертификат лучше купить. Если много сайтов с разными доменами 3го уровня, лучше купить *.domain.ltd серт.

Можно сгенерить пару ключ/корневой сертификат самому, а потом подписывать новогенеренные сертификаты им. Но клиенту нужно будет прописать ваш сертификат у себя в браузере/почте/где-то там еще, чтобы все «прозрачно» работало.

Генерить можно openssl'ем.

zgen ★★★★★ ()
Ответ на: комментарий от true_admin

В теории, если у тебя есть валидный сертификат то ты им можешь другие сертификаты подписывать


Если валидный=купленный, подписанный общеизвестными CA, то в них есть специальное свойство, в котором прописано, что сертификат не может выступать в качестве CA/cchain

zgen ★★★★★ ()
Ответ на: комментарий от zgen

а, блин, точно, флажок такой вонючий, помню. Ещё есть флаг серверный это сертификат или клиентский.

true_admin ★★★★★ ()

значит съэкономить не получится, и нужно подписывать каждый сайт в отдельности, просто я думал, получить сертификат на сервер, а потом самому раздавать , а то у меня мого сайтов, а на парочку нужны сертификаты..

fsn ()
Ответ на: комментарий от fsn

>а то у меня мого сайтов

главное, чтобы не на одном айпишнике.

один айпишник = один ssl-enabled сайт.

если баян. прошу прощения, но для многих это открытие.

thesis ★★★★★ ()

Можно юзать free сертификаты от http://www.startssl.com/
Но на free не поддерживаются wildcard адреса - каждый сертификат на одно имя.

Nao ★★★★★ ()
Ответ на: комментарий от thesis

http://live.daemony.org/freebsd/free-ssl-certificates.html
во тут написано как подписать сервер, и что такую процедуру для каждого сайта нужно делать или сервера хватит, я действительно в этой теме как в танке, иначе бы не задавал таких вопросов=)

fsn ()
Ответ на: комментарий от fsn

Эту тему стоит внимательно выкурить в области теории, она достаточно нетривиальная. Или знающего человека нанять.

Если в двух словах: на айпишнике может висеть лишь один сертификат. Поэтому в общем случае каждому сайту - свой IP-based VirtualHost (курить апач или что там у вас). Соответственно, для каждого сайта - свои настройки выдачи соответственного сертификата.

Но: одним сертификатом ИНОГДА можно подписать несколько сайтов. Это упомянутые выше wildcard-сертификаты, то есть, сертификаты, выданные на имена вида *.mydomain.tld. Таким образом, использование wildcard-сертификата позволит повесить все сайты с адресами mysite-1.mydomain.tld, mysite-2.mydomain.tld и т.д. на один аийпишник, то есть, на name-based VHosts.

Я когда-то заказывал wildcard на rapidssl, за месяц наигрался с ним, понял, что он мне подходит и заплатил им бабло. Без бабла никак.

thesis ★★★★★ ()
Ответ на: комментарий от thesis

один айпишник = один ssl-enabled сайт.


Server Name Indication позволяет делать несколько ssl-сайтов на одном айпишнике. Сертификат потребуется вилкардовый, да.

ArsenShnurkov ()
Ответ на: комментарий от true_admin

> В теории, если у тебя есть валидный сертификат то ты им можешь другие сертификаты подписывать

Сначала тебе предстоит в своем сертификате задекларировать право подписывать чужие сертификаты, а потом еще и убедить CA подписать такой сертификат, с помощью которого ты сможешь отобрать у них хлеб :-)

no-dashi ★★★★★ ()
Ответ на: комментарий от ArsenShnurkov

«Server Name Indication позволяет делать несколько ssl-сайтов на одном айпишнике. Сертификат потребуется вилкардовый, да.»

Я понял, что вилкардовый только на поддомены распространяется, а не на все домены на одном IP.
Тут у меня фигня, у меня , 4 IP, на дебиане стоит Plesk , так вот я через панель добавляю, 2 сертификата, ставлю их на 2 сайта, на разных IP, в виртуал хостах прописываю пути до ключей, но на обоих сайтах видит только один ключ... странно и не понятно, почему так...

fsn ()
Ответ на: комментарий от fsn

выходит что путь до ключей указывается где то в другом месте, а не в конфигурации виртуально хостинга, а где может ещё быть?

fsn ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.