Muss bei der Verwendung von SSL-Zertifikaten jede Domäne an eine eindeutige IP-Adresse gebunden sein?

Muss bei der Verwendung von SSL-Zertifikaten jede Domäne an eine eindeutige IP-Adresse gebunden sein?

Ich habe einen Zimbra ZCS 7.1.3-Server, auf dem die OSE-Version läuft. Der Server hostet 4 Domänen für E-Mail. Jede der E-Mail-Domänen hat ihr eigenes, selbst generiertes SSL-Zertifikat.

Etwas, das mich seit der Installation irgendwie nervt, ist die Art und Weise, wie ich alles konfiguriert habe. Als ich es einrichtete, wollte ich für jede Domäne ein SSL-Zertifikat. In einer Unterhaltung in den Zimbra-Foren wurde mir gesagt, dass ich für JEDE Domäne eine separate IP-Adresse benötige, damit SSL richtig funktioniert.

Das Ergebnis war also folgende Konfiguration:

eth0 – 10.0.0.17/24 – mail.solignis.com eth0:0 – 10.0.0.18/24 – mail.oddablesound.com eth0:1 – 10.0.0.19/24 – mail.campbellsurvey.com eth0:2 – 10.0.0.20/24 – mail.campbellsurvey.net

Jede dieser IP-Adressen ist per NAT mit einer öffentlichen IP verknüpft und hat einen Basis-Port, der dorthin weitergeleitet wird. Obwohl tatsächlich alles funktioniert, bin ich der Meinung, dass das nicht richtig ist.

Der ursprüngliche Grund, warum dies der richtige Weg war, war der Befehl, den Sie eingeben müssen, um mit Zimbra SSL-Zertifikate pro Domäne zu erstellen.

Der Befehl lautet:zmprov md <domain> +zimbraVirtualHostName {domain.example.com} +zimbraVirtualIPAddress {1.2.3.4}

Eine andere Möglichkeit, mehrere Domänen zum Laufen zu bringen, ist die Verwendung eines SSL mit alternativen Namen. Ich bin mir jedoch nicht ganz sicher, wie ich das verwenden soll.

Letztendlich versuche ich nur, die Netzwerkkomplexität von Zimbra etwas zu vereinfachen.

Antwort1

Sie müssen entweder unterschiedliche IPs oder unterschiedliche Ports verwenden. SNI (Entscheidung, welches SSL-Zertifikat auf Grundlage des Namens verwendet wird, den die andere Person erreichen möchte) wird noch nicht von genügend Browsern unterstützt, damit namensbasiertes SSL-Hosting funktioniert.

Antwort2

Wie Sie in einem Ihrer Kommentare erwähnt haben, könnten Sie, da Sie Ihre Zertifikate selbst generieren, ein Zertifikat mit alternativen Betreffnamen erstellen, das alle Ihre Domänen enthält. Ich sehe keine Probleme, wenn ich es auf diese Weise mache.

verwandte Informationen