Мультидоменный SSL сертификат на более 100 доменов?

Question

[Микола Полтавцев]

Коллеги, есть проект который предоставляет опцию привязки своего домена.
Фактически, все запросы происходят на один php-скрипт но в зависимости от домена - открывается другой контент.
И встал вопрос о SSL сертификатах у которых есть ограничение на 100 разных доменов.
Каким образом можно его обойти? Кроме как держать несколько инсталлов?
Каким-то образом же это делается на крупных проектах.
Главное чтобы не было никаких редиректов и все обрабатывалось одним скриптом.

Answer 1

[Saboteur]

На крупных проектах просто делается столько сертификатов, сколько необходимо.
Если говорить про сеть внутри корпорации, просто создается свой CA и рутовый сертификат политиками раскидывается на все машины, и там хоть миллион сертификатов выдавай.

А вообще, ограничение состоит из двух частей - ограничение issuer, поищите другой CA, где нет такого ограничения. Например Comodo - лимит 2000.
Второе - это не все браузеры готовы грузить многокилобайтные сертификаты. Если у вас в результате сертификат будет больше 16 кбайт или 64 кбайта могут возникнуть разного уровня проблемы.

Answer 2

[Дмитрий]

wildcard сертификат

Comments

[Микола Полтавцев]

wildcard предназначен для защиты домена и всех его поддоменов. И он точно не подходит под эту задачу, так как у каждого пользователя свой домен никак не связан с нашим основным.

[ky0]

Микола Полтавцев, отлично подходит, если вы не раздаёте доступ к закрытому ключу сертификата пользователям, а держите его (и терминируете шифрования в целом) у себя.

[d-stream]

ky0, а мне продадут wildcard *.com ? )

ну чтобы я любые домены в зоне .com мог привязать... можно будет заодно и google.com )

Answer 3

[nokimaro]

В чём проблема выпускать клиентам индивидуальный сертификат через letsencrypt?
Ведь для привязки своего домена к вашему сервису клиенту придётся в A-записях домена указать ip ваших серверов, и значит вы без проблем можете выпустить для каждого домена сертификат.
Так, например, делает github pages где любой может подвязать свой домен, а выпуск и продление ssl серта github берёт на себя.

Answer 4

[Sanes]

• Зарегистрировать AS или попросить владельца выпустить сертификат для IP адреса.
  
• Использовать прокси Cloudflare
  

Answer 5

[CityCat4]

Каким-то образом же это делается на крупных проектах.

Крупные проекты покупают право быть subCA. Ну то есть конечно же они не получают сертификата CA, а получают некую возможность самим выпускать сертификаты, подписывая их сертификатом того CA, с которым договорились. Это если нужны сертификаты с признанием. Если же на признание пофиг - для почты например или для внутренних нужд - то просто свой CA подымается и там уже вообще что хочу - то ворочу.
Выпускать сертификат с сотней SAN - верный путь к ошибкам - таймауты на загрузку сертификатов обычно прописываются жестко - не успел, все, пока-пока.