“每个SSL证书都需要专用IP”到底是什么意思？

Question

我读过一些关于SSL证书的文章，特别是我读到SSL证书“需要一个专用的IP地址”。现在，我不确定这是什么意思；它是否意味着证书需要一个独立于用于正常HTTP通信的IP地址的专用IP地址，还是它不能与其他SSL证书共享IP地址？

为了澄清，我有一个具有专用IP地址的VPS。VPS托管了很多不同的站点，包括主站点的几个子域，但是只有主站点和子域需要SSL。我是否可以使用我当前的IP地址为*.example.com购买一个SSL证书，或者我是否需要获得一个独立于VPS上其他站点的证书？或者更糟糕的是，我是否需要将其与服务器上的所有HTTP通信分开？请记住，其他站点都不需要SSL。

感谢您对这一主题的任何澄清。

编辑:我担心的一些消息来源：

http://symbiosis.bytemark.co.uk/docs/symbiosis.html#ch-ssl-hosting

是否需要有专门的IP地址来安装SSL证书？

Answer 1

1. 没有"SSL证书“这样的东西。这个词有误导性。X.509证书可以用于不同目的(根据密钥使用和扩展密钥使用“属性”定义)，特别是用于保护SSL/TLS会话。
2. 证书不需要任何有关套接字、地址和端口的内容，因为证书是纯数据。
3. 在保护与TLS的某种连接时，通常使用证书对服务器(有时还包括客户机)进行身份验证。每个IP/端口有一个服务器，所以服务器选择使用哪个证书通常没有问题。 HTTPS是例外--几个不同的域名可以引用一个IP，客户端(通常是浏览器)连接到同一服务器上，以获取不同的域名。在请求中将域名传递给服务器，请求经过 TLS握手后将其发送给服务器。 问题出在这里-- web服务器不知道要显示哪个证书。为了解决这个问题，向TLS添加了一个新的扩展，名为SNI (服务器名称指示)。然而，并不是所有的客户都支持它。因此，一般来说，在每个域每个IP/端口都有一个专用服务器是个好主意。换句话说，客户端可以使用HTTPS连接到的每个域都应该有自己的IP地址(或不同的端口，但这并不常见)。

Answer 2

SSL证书不需要专用IP地址。SSL证书存储一个所谓的公共名称。浏览器将此通用名称解释为正在与其交谈的服务器的DNS名称。如果公共名称与浏览器正在交谈的服务器的DNS名称不匹配，浏览器将发出警告。

您可以获得所谓的通配符证书，该证书对于某个域中的所有主机都是可接受的。

Answer 3

...following在@Eugene的回答上提供了更多关于兼容性问题的信息.

根据此页来自namecheap.com的说法，SNI不适用于：

• Windows XP +任何版本的Internet Explorer (6,7,8,9)
• 6或更早版本
• Windows下的Safari
• BlackBerry浏览器
• Windows Mobile最多6.5
• 至少在Series60上使用Symbian的诺基亚浏览器
• 用于Symbian的Opera至少在Series60上

网站仍可通过HTTPS访问，但将出现证书不匹配错误。

因此，当我们进入2016年的时候，我会大胆地说：“如果你正在构建一个现代网站(不支持旧浏览器)，如果这个项目太小，以至于它负担不起专用的IP地址，那么你可能可以依赖SNI。”当然，有成千上万的专家会不同意这一点，但我们谈论的是实际，而不是完美。