多个根域上的多个SNI证书 [英] Multiple SNI Certs on multiple root domains

问题描述

我有一个多租户Web应用程序，因此多个客户通过不同的域进行连接.

如果这些域是非根域(例如www.something.com)，那么我可以使用SNI证书绑定为每个域使用SSL，然后我需要将CNAME指向我的网站地址的sni版本(sni .< mywebapp> .azurewebsites.net).如果我不这样做 这样我就会间歇性地得到错误的SSL，这是我所期望的.

但是，我找不到关于是否可以使用SSL将多个根域绑定到同一Web应用程序的明确说明.例如.可以使用SSL将something-1.com和something-2.com绑定到同一Web应用程序吗?

我可以使用IP绑定来绑定一个根域.但是，如果我创建了多个，则可能需要SNI.但是我无法将根域映射到DNS中的CNAME(因为DNS在根上不支持CNAME).

我可以安全地将根域映射到与我的IP证书相同的IP地址-但使用SNI来解析要使用的证书吗?

解决方案

只能将1个基于IP的SSL证书添加到Web应用程序.对于希望通过Web应用程序使用多个自定义域的客户，您将需要使用SNI SSL绑定.在下面的示例中，我有t.net和s.net.两者都有CNAME DNS绑定.两者都受到保护 带有SNI SSL绑定.

以下文档中的以下声明进一步验证了这一点.

" -可以添加多个基于SNI的SSL绑定.此选项允许多个SSL证书保护同一IP地址上的多个域.大多数现代的浏览器(包括Internet Explorer， Chrome，Firefox和Opera)支持SNI(可在以下位置找到更全面的浏览器支持信息) 服务器名称指示

来源: 解决方案

Only 1 IP based SSL cert can be added to a web app. For customers who wish to use multiple custom domains with a web app, you will need to use SNI SSL bindings. In the below example, I have t.net and s.net. Both have CNAME DNS bindings. Both are protected with SNI SSL bindings.

This is further verified by the following statement in the below doc.

"SNI-based SSL - Multiple SNI-based SSL bindings may be added. This option allows multiple SSL certificates to secure multiple domains on the same IP address. Most modern browsers (including Internet Explorer, Chrome, Firefox, and Opera) support SNI (find more comprehensive browser support information at Server Name Indication)."

Source: https://docs.microsoft.com/azure/app-service/app-service-web-tutorial-custom-ssl#bind-your-ssl-certificate-1

Please let me know if you have further questions or concerns.

这篇关于多个根域上的多个SNI证书的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！