1台のサーバーで複数のSSL証明書を使用したいとします。過去には、より多くのIPアドレスを指しているときにのみ可能でした。今、私はそれを実現するSNIについて読んでいますが、クライアント側の実際のブラウザでのみサポートされています。私はいつも少なくともApacheバージョン2.2.12とOpenSSL 0.9.8fが必要であるというSNIの前提条件を読みました。SNIのCA証明書はありますか?
このテクニックでは、Thawte、Verisign、または他の認証局の証明書を使用できますか?これらの証明書はOpenSSLではありませんか?
サーバー名表示は、クライアントが要求しているホスト名をサーバーに知らせるためのメカニズムで、サーバーがクライアントに送信する証明書を複数選択できます(複数の場合)。証明書の発行者は関係ありません。
これが機能するには、SNI拡張機能がクライアントとサーバーの両方でサポートされている必要があります。このため、OpenSSLでApache Serverを使用している場合は、OpenSSLをサポートするバージョンが必要です。クライアント側のサポートはブラウザに限定されず(最近のバージョンのcURLもSNIをサポートするはずです)、ブラウザ/プラットフォームによって異なります。
OpenSSLを暗号ライブラリとOpenSSLを使って作成した証明書として混在させました。 SNIはSSLに関するもので、証明書はSSLではありません。これらは独立したエンティティであり、SSLでよく使用されます。
SNIが機能するには、サーバーとクライアントの両方がSNIをサポートしている必要があります。ただし、使用する証明書(または証明書をまったく使用するかどうか)は関係ありません。
ありがとうございます。ですから、SSL接続用のOpenSSLライブラリが必要です。証明書の作成とは何の関係もありません。 m0tv @ – m0tv
サードパーティの証明書を購入しようとしているとして、あなたは(技術的にはOpenSSLがX.509証明書を生成する関数が含まれますが)証明書の生成のためにOpenSSLを使用する必要はありません。 –