基于IP的HTTPS证书-有可能吗？

Question

我们有多个业务站点托管在Windows2008 r2服务器上。我们确实拥有一个静态IP。我们希望所有的站点都能在SSL下工作。然而，这是不可能有单独的证书购买为每个网站。我们正在考虑为我们拥有的静态IP购买证书，并将该证书应用于所有站点。

这个是可能的吗？如果是，这种方法是否存在任何安全风险？

Answer 1

是的，您可以获得可信CA颁发的有效SSL证书，其中证书中的公共名称是ip地址。

但是，由于这不会使证书对解析到该ip地址的任何DNS名称有效。地址栏中的主机名(www.example.com)与SSL证书(您的ip)中的主机名仍然不匹配，因此在大多数浏览器中都会产生警告。

如果您受到限制，并且只能安装一个证书，则可以购买对大多数活动浏览器支持的多个域名(例如www.example.com和www.example.org)有效的证书。该功能的技术名称是subject alternative名称，但通常您会看到它们被列为SAN或UC统一通信证书。

Answer 2

是的，这是有可能的安全您的所有域名在单一的IP地址。

有很多可供选择的。

1. 如果您想保护您的网站&多个子域，您应该购买通配符SSL证书。

使用通配符SSL证书，您可以在任何服务器上保护您的网站和无限子域(相同主机名)。

1. 如果您有多个域，并且希望在任何服务器上使用单个证书来保护它们，那么您应该购买一个多域(SAN) SSL证书。
2. 如果您想保护多个域及其无限子域，那么您应该购买多域通配符SSL证书。