Мультидоменный SSL сертификат на более 100 доменов?

Коллеги, есть проект который предоставляет опцию привязки своего домена.
Фактически, все запросы происходят на один php-скрипт но в зависимости от домена - открывается другой контент.
И встал вопрос о SSL сертификатах у которых есть ограничение на 100 разных доменов.
Каким образом можно его обойти? Кроме как держать несколько инсталлов?
Каким-то образом же это делается на крупных проектах.
Главное чтобы не было никаких редиректов и все обрабатывалось одним скриптом.
  • Вопрос задан
  • 256 просмотров
Пригласить эксперта
Ответы на вопрос 5
saboteur_kiev
@saboteur_kiev
software engineer
На крупных проектах просто делается столько сертификатов, сколько необходимо.
Если говорить про сеть внутри корпорации, просто создается свой CA и рутовый сертификат политиками раскидывается на все машины, и там хоть миллион сертификатов выдавай.

А вообще, ограничение состоит из двух частей - ограничение issuer, поищите другой CA, где нет такого ограничения. Например Comodo - лимит 2000.
Второе - это не все браузеры готовы грузить многокилобайтные сертификаты. Если у вас в результате сертификат будет больше 16 кбайт или 64 кбайта могут возникнуть разного уровня проблемы.
Ответ написан
@Tabletko
Системный администратор
Sanes
@Sanes
!
  • Зарегистрировать AS или попросить владельца выпустить сертификат для IP адреса.
  • Использовать прокси Cloudflare
Ответ написан
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Если я чешу в затылке - не беда!
Каким-то образом же это делается на крупных проектах.

Крупные проекты покупают право быть subCA. Ну то есть конечно же они не получают сертификата CA, а получают некую возможность самим выпускать сертификаты, подписывая их сертификатом того CA, с которым договорились. Это если нужны сертификаты с признанием. Если же на признание пофиг - для почты например или для внутренних нужд - то просто свой CA подымается и там уже вообще что хочу - то ворочу.
Выпускать сертификат с сотней SAN - верный путь к ошибкам - таймауты на загрузку сертификатов обычно прописываются жестко - не успел, все, пока-пока.
Ответ написан
nokimaro
@nokimaro
Меня невозможно остановить, если я смогу начать.
В чём проблема выпускать клиентам индивидуальный сертификат через letsencrypt?
Ведь для привязки своего домена к вашему сервису клиенту придётся в A-записях домена указать ip ваших серверов, и значит вы без проблем можете выпустить для каждого домена сертификат.
Так, например, делает github pages где любой может подвязать свой домен, а выпуск и продление ssl серта github берёт на себя.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
ITFactory Ростов-на-Дону
от 65 000 до 120 000 ₽
Innova Group Казань
от 150 000 до 190 000 ₽
от 200 000 до 250 000 ₽
01 мар. 2021, в 00:47
300000 руб./за проект
01 мар. 2021, в 00:29
5555 руб./за проект