私は Domino 9.0.1 FP5 を使用しています。複数の Web サイトをホストし、それらすべてに SSL を使用してアクセスする予定です。すべてのサイトに 1 つの IP アドレスを使用したいと考えています。ドメインのワイルドカード証明書を取得するので、各 Web サイトは同じドメインを持ちますが、サブドメインは異なります。
例:
site1.example.com
site2.example.com
Domino Administrator で、各サイトのインターネット サイト ドキュメントを作成しています。ドキュメントには、SSL を使用する場合は [このサイトにマップされたホスト名またはアドレス] フィールドに IP アドレスを指定する必要があると記載されています。
この背後にある理由は理解できます。サーバーは、http ヘッダーを復号化できるまでホスト ドメインを認識しませんが、私の場合はワイルドカード証明書を使用する予定なので、ホスト名に関係なくこの証明書を使用するようにサーバーに指示できるようにしたいと考えています。これを実行する方法はありますか?
答え1
から技術ノート:
ただし、複数の Web サイト ドキュメントに同じ IP アドレスを入力した場合は、Web ブラウザにどのホスト名を入力したとしても、SSL 接続には最初の IP アドレスのみが使用されます。
どうやら、あなたがやりたいことはネイティブではサポートされていないようです。ただし、購入する前に、自己署名のワイルドカード証明書を生成してテストするのは簡単です。
答え2
ワイルドカード証明書を使用する場合、SSL 証明書をどこに配置しても問題ありません。Domino は常に最初に見つかった証明書を使用します。ワイルドカード証明書をドメインのデフォルト ドキュメントに配置するだけで、すべての Web サイトに設定されている kyr- ファイルが使用され、他のサイト ドキュメントの設定は無視されます。私は以前これを実行しましたが、kry- ファイルが見つかる限り問題はありませんでした。100% 確実にするには、すべてのインターネット サイトに同じ kyr- ファイルを配置し、IP アドレスをドキュメントの 1 つにのみ配置します。
編集: ちなみに、ここドイツでは、3 年間のワイルドカード証明書をわずか 300 ユーロで入手できます... 特別なシナリオでは機能しない場合でも、非常に多くのサービス/サイト/ジョブでこれを使用できるため、ほとんどの場合、1 つ購入する価値があります...
答え3
残念ながら、これを行う唯一の方法は、haproxy、nginx などを使用して、Domino サーバーに到達する前にトラフィックを復号化することです。
復号化後、トラフィックを HTTP として Domino に送信すると、ホスト ヘッダーに基づいて正しいサイトが選択されます。
Domino は SSL/TLS があまり効率的ではないため、これを行うとパフォーマンス上の利点もあり、応答時間がわずかに改善されるはずです。