Debo comenzar diciendo que no tengo ningún conocimiento práctico sobre SSL y que esta configuración en particular parece especialmente compleja. Tengo la siguiente situación: estoy ejecutando 3 sitios web para un cliente, una copia de cada uno en 2 cajas de Linux. El cliente ejecuta un equilibrador de carga de hardware entre su firewall y las 2 cajas para distribuir el tráfico entre las 2 cajas. Actualmente, todos los sitios web funcionan únicamente con HTTP, cada sitio tiene su propia dirección IP en cada cuadro y está disponible en una URL pública como a.mysite.com, b.mysite.com y c.mysite.com.
El cliente me ha pedido que cambie todo para que se ejecute en HTTPS y también que intente configurar la siguiente configuración: crear un nuevo dominio (en https)https://main.mysite.comconhttps://main.mysite.com/a/mappng a a.mysite.com,https://main.mysite.com/b/mappng a b.mysite.com, etc.
El objetivo principal es cambiar los 3 sitios a HTTPS. La cosa unificada bajo 1 dominio es "es bueno tenerla". El cliente tiene la creencia de que los certificados son caros, ¿verdad?
En primer lugar, no sé nada sobre la compra de certificados, la configuración de SSL, etc., por lo que agradecería mucho cualquier enlace a una guía para principiantes sobre HTTPS. También sería bueno tener una idea aproximada de los precios de los certificados.
En segundo lugar, debido a que el software del servidor web necesita una recompilación para ejecutarse bajo SSL, estoy interesado en soluciones para esto que me permitan no cambiar el software del servidor web. ¿Sería este un proxy inverso?
En tercer lugar, ¿es posible "la cosa unificada bajo 1 dominio"?
Cuarto, ¿cuántos certificados SSL necesito en este caso?
¡salud!
Respuesta1
Un certificado SSL de dominio múltiple (UCC) es más económico que el SSL comodín que a menudo se sugiere. Solo funciona para 5 variaciones de dominio en lugar del número infinito que ofrece el comodín, pero puede valer la pena considerarlo si sus necesidades son simples.
De cualquier manera, un certificado SSL único puede satisfacer sus necesidades. Sólo difieren el precio y la flexibilidad futura.
Respuesta2
Los certificados pueden ser tan caros o tan baratos como usted desee. Lo que probablemente desee es un certificado 'comodín', que permitirá permitir *.mysite.com. Los certificados comodín no serán tan baratos como los de un solo sitio, pero con el tiempo se volverán más baratos que muchos de un solo sitio. También puede obtener varios nombres en un solo certificado, pero esto es algo único, donde un certificado comodín permitirá cualquier nombre bajo esa raíz de dominio común.
No estás diciendo qué software de servidor estás utilizando. Si Apache, lo cual asumo por la mención "recompilar", y lo estás ejecutando en algún tipo de Unix, prueba este comando:
httpd -t -D DUMP_MODULES | grep -i ssl
Si recibe algo que diga que ssl está ahí, bueno, está ahí.
Si no es así, es posible que se pueda cargar dinámicamente. Sin embargo, es probable que la mayoría de las distribuciones y sistemas de paquetes instalen SSL de forma predeterminada. Es así de común.
También comprobaría la antigüedad del software de su servidor. No quiero cambiar mucho las cosas, pero creo que serás más feliz sin un proxy inverso para agregar al mantenimiento de este sitio.
Respuesta3
Creo que podría satisfacer esto con un certificado comodín (caro):
- *.misitio.com
O tres certificados (no tan caros):
- principal.misitio.com
- a.misitio.com
- b.misitio.com
También debería poder crear una regla de reescritura de URL en el sitio principal para enviar clientes al dominio correcto:
Este diseño no requeriría un cambio en la implementación de su servidor, sino simplemente agregar un certificado a cada sitio junto con una regla de reescritura de URL en su sitio principal.
Y no olvide agregar la URL de redireccionamiento para reasignar de http a https: