まず、SSL に関する実用的な知識はまったくなく、この特定の設定は特に複雑に思えるということを言っておきます。状況は次のとおりです。クライアント用に 3 つの Web サイトを運営しており、それぞれのコピーを 2 つの Linux ボックスで運用しています。クライアントは、ファイアウォールと 2 つのボックスの間でハードウェア ロード バランサーを実行して、2 つのボックス間でトラフィックを分散しています。現在、Web サイトはすべて HTTP のみで、各サイトは各ボックスで独自の IP アドレスを持ち、a.mysite.com、b.mysite.com、c.mysite.com などのパブリック URL で利用できます。
クライアントは、すべてをHTTPSで実行するように切り替え、次の設定を構成するように依頼しました:新しいドメインを作成します(httpsで)。https://main.mysite.comとhttps://main.mysite.com/a/a.mysite.comへのマッピング、https://main.mysite.com/b/b.mysite.com などへのマッピング
主な目標は、3 つのサイトすべてを HTTPS に切り替えることです。1 つのドメインに統合することは、「あれば便利」です。クライアントは、証明書は高価だと考えていますが、実際そうでしょうか?
まず、証明書の購入や SSL の設定などについては何も知らないので、HTTPS の初心者向けガイドへのリンクがあれば大変助かります。証明書の価格の大まかな見当も教えていただけると助かります。
2 番目に、Web サーバー ソフトウェアを SSL で実行するには再コンパイルする必要があるため、Web サーバー ソフトウェアを変更せずに済むソリューションに興味があります。これはリバース プロキシでしょうか?
3 番目に、「1 つのドメインに統合する」ことは可能でしょうか?
4 番目に、この場合、SSL 証明書はいくつ必要ですか?
乾杯!
答え1
複数ドメイン (UCC) SSL 証明書は、よく提案されるワイルドカード SSL よりも安価です。ワイルドカードが提供する無制限の数ではなく、5 つのドメイン バリエーションでのみ機能しますが、ニーズが単純な場合は検討する価値があるかもしれません。
どちらの場合でも、単一の SSL 証明書でニーズに対応できます。異なるのは価格と将来の柔軟性だけです。
答え2
証明書は、必要に応じて高価にも安価にもできます。おそらく必要なのは、*.mysite.com を許可する「ワイルドカード」証明書です。ワイルドカード証明書は単一サイト証明書ほど安くはありませんが、最終的には単一サイト証明書を複数持つよりも安くなります。1 つの証明書で複数の名前を取得することもできますが、これは 1 回限りで、ワイルドカード証明書では、共通ドメイン ルートの下にある任意の名前が許可されます。
どのサーバー ソフトウェアを使用しているかは述べられていません。「再コンパイル」の記述から Apache であると推測しますが、何らかの Unix で実行している場合は、次のコマンドを試してください。
httpd -t -D DUMP_MODULES | grep -i ssl
ssl が存在するという内容のものが返された場合、確かにそこに存在します。
そうでない場合は、動的にロードできる可能性があります。ただし、ほとんどのディストリビューションとパッケージ システムでは、デフォルトで SSL がインストールされる可能性があります。それほど一般的なのです。
また、サーバー ソフトウェアがどれくらい古いか確認することをお勧めします。あまり変更したくないのはわかりますが、このサイトのメンテナンスにリバース プロキシを追加しない方が幸せになれると思います。
答え3
ワイルドカード証明書(高価)のいずれかでこれを満たすことができると思います。
- *.mysite.com
または、3 つの証明書(それほど高価ではありません):
- メインサイト
- このサイト
- b.mysite.com
また、クライアントを正しいドメインに送信するために、メイン サイトで URL 書き換えルールを作成することもできます。
この設計では、サーバーの展開を変更する必要はなく、メイン サイトの URL 書き換えルールとともに各サイトに証明書を追加するだけです。
また、http から https に再マッピングするためのリダイレクト URL を追加することを忘れないでください。