Azure支持UCC/SAN SSL证书吗？

Question

我有一个Azure Web应用程序，它有15个与之相关的域名(即所有域名映射到同一个应用程序)。

我需要为所有15个域提供SSL，指向同一个Web应用程序。

到目前为止，我的观察是：

• 传统的SSL绑定每个域需要一个IP地址，所以这个Web应用程序需要15个IP地址。
• Azure只为每个Web应用程序提供一个IP，除非我以39美元/次的价格购买额外的IP。我想避免购买15个额外的IP。
• 我可以在同一个应用服务计划下创建15个Web应用程序，但看起来它们都使用相同的外部IP地址，只要它们处于相同的应用服务计划中，对吗？
• 较新的SNI绑定方案可以与跨多个域的单一IP地址一起使用，但在较早的浏览器(如WinXP上的IE )中不受支持(我发现，这或多或少是SNI的唯一限制)。
• 我想避免SNI SSL绑定，因为我们有大量的收入来自Windows XP/IE用户，而这些用户不能支持SNI。

鉴于我的要求：

• 在单一应用程序服务计划(单个或多个web应用程序实例)上支持15个域名的SSL
• 如果可能的话，避免购买额外的if
• 如果可能的话避免SNI

..。在我看来，唯一合理的选择是UCC/SAN SSL证书，对吗？

如果是这样的话，当我试图通过Azure购买一个"App Service证书“时，我会得到以下信息框，这意味着UCC证书不是一种选择(至少对于购买而言是这样)：

我的问题是：

a.)根据我的要求，我使用SAN证书的计划是合适的吗？

b.)对于这种情况，Azure甚至支持UCC/SAN证书吗？我不想买这个证书，只是为了发现我不能按我的意愿使用它。

提前感谢！

Answer 1

Azure支持UCC/SAN SSL证书。但是根据您的映像，您已经尝试通过Azure‘’购买这种类型的ssl证书，这就是为什么您无法从中找到UCC/SAN证书选项的原因。所以从可信的SSL提供程序那里购买它。

如果您的所有15个域都是主域的第一级子域，那么也可以使用通配符ssl证书来保护它们。但是，如果它们是像abc.com、app.abc.net、login.xyz.biz、signup.abc.org这样的多域，那么SAN SSL是最好的选择。

根据您的需求：

：

如果您从旧浏览器( Windows /IE)获得了可观的收入，那么就不要选择SNI。但是SNI并没有完全忽略IE浏览器，而是它的一些版本。阅读有关SNI支持哪个浏览器和服务器的更多信息。

根据您的问题：

：

1. 选择Microsoft Azure支持的UCC/SAN SSL证书。
2. 如果不想使用SNI，那么对每个域采取不同的IP地址，这也是有效的，但在'SSL绑定‘选项中，您必须选择SSL类型作为’基于IP的SSL‘。

Answer 2

是的，Microsoft Azure将支持UCC/SAN SSL证书。

购买证书后，只需启用SNI功能即可。它将覆盖您的所有15个域名。

能够工作的SSL证书(由Microsoft建议)

• Comodo UCC SSL
• Comodo多域SSL
• GeoTrust真BusinessID多域SSL
• Thawte Server SSL证书

Answer 3

是的，通过配置SSL证书绑定，您的所有15个web应用程序都可以在Azure App中安全。SAN SSL是用单一证书保护所有应用程序的理想解决方案。Azure应用程序服务涵盖自定义域并匹配指定的subjectAltName值。

要用单个IP保护所有web应用程序，必须在SSL绑定选项下选择SSL类型“SNI SSL”。否则，您需要为每个web应用程序购买不同的IP地址，并选择“基于IP的SSL”选项。

* IP based SSL associates a certificate with a domain name by mapping the dedicated public IP address of the server to the domain name. This requires each domain name (contoso.com, fabricam.com, etc.) associated with your service to have a dedicated IP address. This is the traditional method of associating SSL certificates with a web server.
* SNI based SSL is an extension to SSL and **[Transport Layer Security](http://en.wikipedia.org/wiki/Transport_Layer_Security)** (TLS) that allows multiple domains to share the same IP address, with separate security certificates for each domain. Most modern browsers (including Internet Explorer, Chrome, Firefox and Opera) support SNI, however older browsers may not support SNI. For more information on SNI, see the **[Server Name Indication](http://en.wikipedia.org/wiki/Server_Name_Indication)** article on Wikipedia.

Microsoft建议使用CA签名证书，因为浏览器不信任自签名证书。根据您的要求，您可以使用Comodo多域SSL以更低的价格。

资料来源：

1. https://www.ssl2buy.com/wiki/server-name-indication-sni-use-multiple-ssl-on-a-single-ip
2. https://docs.microsoft.com/en-us/azure/app-service-web/web-sites-configure-ssl-certificate#bkmk_主体名称