Задать вопрос
Poltavtcev
@Poltavtcev
цифровые-сертификаты

Мультидоменный SSL сертификат на более 100 доменов?

Коллеги, есть проект который предоставляет опцию привязки своего домена.
Фактически, все запросы происходят на один php-скрипт но в зависимости от домена - открывается другой контент.
И встал вопрос о SSL сертификатах у которых есть ограничение на 100 разных доменов.
Каким образом можно его обойти? Кроме как держать несколько инсталлов?
Каким-то образом же это делается на крупных проектах.
Главное чтобы не было никаких редиректов и все обрабатывалось одним скриптом.
  • Вопрос задан
  • 315 просмотров
Комментировать
Подписаться 4 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 5
saboteur_kiev
@saboteur_kiev
software engineer
На крупных проектах просто делается столько сертификатов, сколько необходимо.
Если говорить про сеть внутри корпорации, просто создается свой CA и рутовый сертификат политиками раскидывается на все машины, и там хоть миллион сертификатов выдавай.

А вообще, ограничение состоит из двух частей - ограничение issuer, поищите другой CA, где нет такого ограничения. Например Comodo - лимит 2000.
Второе - это не все браузеры готовы грузить многокилобайтные сертификаты. Если у вас в результате сертификат будет больше 16 кбайт или 64 кбайта могут возникнуть разного уровня проблемы.
Ответ написан
Комментировать
Комментировать
@Tabletko
никого не трогаю, починяю примус
wildcard сертификат
Ответ написан
3 комментария
3 комментария
nokimaro
@nokimaro
Меня невозможно остановить, если я смогу начать.
В чём проблема выпускать клиентам индивидуальный сертификат через letsencrypt?
Ведь для привязки своего домена к вашему сервису клиенту придётся в A-записях домена указать ip ваших серверов, и значит вы без проблем можете выпустить для каждого домена сертификат.
Так, например, делает github pages где любой может подвязать свой домен, а выпуск и продление ssl серта github берёт на себя.
Ответ написан
Комментировать
Комментировать
Sanes
@Sanes
  • Зарегистрировать AS или попросить владельца выпустить сертификат для IP адреса.
  • Использовать прокси Cloudflare
Ответ написан
Комментировать
Комментировать
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Внимание! Изменился адрес почты!
Каким-то образом же это делается на крупных проектах.

Крупные проекты покупают право быть subCA. Ну то есть конечно же они не получают сертификата CA, а получают некую возможность самим выпускать сертификаты, подписывая их сертификатом того CA, с которым договорились. Это если нужны сертификаты с признанием. Если же на признание пофиг - для почты например или для внутренних нужд - то просто свой CA подымается и там уже вообще что хочу - то ворочу.
Выпускать сертификат с сотней SAN - верный путь к ошибкам - таймауты на загрузку сертификатов обычно прописываются жестко - не успел, все, пока-пока.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Администратор PostgreSQL
Гринатом
До 200 000 ₽
Руководитель отдела тестирования/QA Lead
Uniscan Research Новосибирск
от 175 000 до 210 000 ₽
Senior .NET Core developer
Spatium Software Каир
от 250 000 до 300 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Услуги devops разного характера для видео сервиса
26 апр. 2024, в 06:46
1000 руб./в час
Найти ошибку flutter_map
26 апр. 2024, в 05:31
1000 руб./за проект
Разработать электронику для весов с Wi-Fi
26 апр. 2024, в 01:22
1000 руб./в час
Ещё заказы