Сертификаты CA с SNI?

Question

Я хочу использовать более одного сертификата SSL на одном сервере. Раньше это было возможно только тогда, когда у вас больше IP-адресов, указывающих на него. Теперь я читал о SNI, который позволяет достичь именно этого, хотя он поддерживается только фактическими браузерами на стороне клиента. Я всегда читал в предпосылках для SNI, что вам нужна хотя бы версия Apache 2.2.12 и OpenSSL 0.9.8f.

Могу ли я использовать сертификаты от Thawte, Verisign или других органов сертификации с помощью этой техники? Эти сертификаты не являются OpenSSL, не так ли?

Answer 1

Идентификатор имени сервера - это механизм, позволяющий клиенту рассказать серверу, какое имя хоста он запрашивает, чтобы сервер мог выбрать, какой сертификат отправить клиенту (если он имеет более одного). Эмитент сертификата не имеет значения.

Расширение SNI должно поддерживаться как клиентом, так и сервером, чтобы это работало. Вот почему, если вы используете Apache Server с OpenSSL, вам нужны версии, которые его поддерживают. Поддержка на стороне клиента не ограничивается браузерами (последние версии cURL также должны поддерживать SNI), и это зависит от браузера/платформы.

Answer 2

Вы использовали OpenSSL в качестве библиотеки криптографии и сертификатов, созданных с использованием OpenSSL. SNI относится к SSL, а сертификаты НЕ являются SSL - они являются независимыми объектами, часто используемыми SSL.

Для того, чтобы SNI работал, вам необходимо иметь сервер, а клиент поддерживает SNI. Однако не имеет значения, какие сертификаты вы используете (или используете ли вы вообще сертификаты).