Devo começar dizendo que não tenho nenhum conhecimento prático de SSL e que essa configuração específica parece especialmente complexa. Estou com a seguinte situação: estou executando 3 sites para um cliente, uma cópia de cada um em 2 caixas Linux. O cliente está executando um balanceador de carga de hardware entre o firewall e as 2 caixas para distribuir o tráfego entre as 2 caixas. Atualmente, os sites são todos apenas em HTTP, cada site tem seu próprio endereço IP em cada caixa e está disponível em uma url pública como a.mysite.com, b.mysite.com e c.mysite.com
O cliente me pediu para mudar tudo para rodar em HTTPS e também para tentar definir a seguinte configuração: criar um novo domínio (em https)https://main.meusite.comcomhttps://main.mysite.com/a/mapeando para a.mysite.com,https://main.mysite.com/b/mapeando para b.mysite.com etc.
O objetivo principal é mudar todos os três sites para HTTPS. A coisa unificada em 1 domínio é "bom ter". O cliente tem essa crença de que os certificados são caros, não é?
Em primeiro lugar, não sei nada sobre compra de certificados, configuração de SSL, etc., portanto, qualquer link para um guia para iniciantes em HTTPS seria muito apreciado. Uma ideia aproximada dos preços dos certificados também seria boa.
Segundo, como o software do servidor web precisa de uma recompilação para rodar em SSL, estou interessado em soluções para isso que me permitam não alterar o software do servidor web. Este seria um proxy reverso?
Terceiro, a "coisa unificada em um domínio" é mesmo possível?
Quarto, quantos certificados SSL eu preciso neste caso?
saúde!
Responder1
Um certificado SSL de domínio múltiplo (UCC) é mais barato do que o Wildcard SSL frequentemente sugerido. Funciona apenas para 5 variações de domínio em vez de um número infinito que o Wildcard oferece, mas pode valer a pena considerar se suas necessidades forem simples.
De qualquer forma, um certificado SSL único pode atender às suas necessidades. Apenas o preço e a flexibilidade futura diferem.
Responder2
Os certificados podem ser tão caros ou baratos quanto você desejar. O que você provavelmente deseja é um certificado 'curinga', que permitirá que *.mysite.com seja permitido. Os certificados curinga não serão tão baratos quanto os certificados de site único, mas eventualmente se tornarão mais baratos do que muitos certificados de site único. Você também pode obter vários nomes em um único certificado, mas isso é algo único, onde um certificado curinga permitirá qualquer nome nessa raiz de domínio comum.
Você não está dizendo qual software de servidor está usando. Se o Apache, que presumo pela menção de "recompilar", e você o estiver executando em alguma forma de Unix, tente este comando:
httpd -t -D DUMP_MODULES | grep -i ssl
Se você receber algo dizendo que o SSL está lá, bem, está lá.
Caso contrário, poderá ser carregado dinamicamente. No entanto, a maioria das distribuições e sistemas de pacotes provavelmente instalarão o SSL por padrão. É muito comum.
Eu também verificaria a idade do software do seu servidor. Não quero mudar muito as coisas, mas acho que você ficará mais feliz sem um proxy reverso para adicionar à manutenção deste site.
Responder3
Eu acho que você poderia satisfazer isso com um certificado curinga (caro):
- *.meusite.com
Ou três certificados (não tão caros):
- main.meusite.com
- a.meusite.com
- b.meusite.com
Você também deve ser capaz de criar uma regra de reescrita de URL no site principal para enviar os clientes ao domínio correto:
Esse design não exigiria uma alteração na implantação do servidor, mas apenas adicionar um certificado a cada site junto com uma regra de reescrita de URL no site principal.
E não se esqueça de adicionar o URL de redirecionamento para remapear de http para https: