1 votes

Dario Fumagalli avatar

Nginx : est-il possible d'utiliser des certificats SSL de différentes autorités sur une même adresse IP ?

Demandé el 5 de Mars, 2015
Quand la question a-t-elle été
194 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'aimerais savoir s'il est possible d'avoir deux hôtes virtuels Nginx sur la même adresse IP v4. Je sais qu'il existe SNI mais j'ai deux certificats SSL de base (pas de SAN, pas de wildcard) de deux autorités de certification différentes à faire cohabiter sur une même adresse IP.

En fait, est-il suffisant de configurer deux fichiers de configuration (un par hôte virtuel), chacun pointant vers sa propre clé et son propre tube cathodique ? Ou y a-t-il d'autres problèmes ?

J'essaierais la solution moi-même si je le pouvais mais les CAs veulent de l'argent pour les certificats et je préfère commander le second certificat seulement si je suis sûr de pouvoir le faire fonctionner. N.B. Je n'achèterai pas le second certificat auprès de la première autorité de certification, leur support a été exécrable et je veux les quitter.

Demandé el 5 de Mars, 2015 par Dario Fumagalli

Réponses

Trop de publicités?

1voto

Jacob avatar
Jacob Points 1861

Les certificats provenant de différentes autorités de certification ne posent pas de problème tant que les clients font confiance à ces autorités.

Servir plusieurs sites avec des certificats différents sur la même IP, quelles que soient les AC qui ont signé les certificats, est ce qui présente certaines limites en termes de compatibilité.

La prise en charge de plusieurs certificats sur une seule IP nécessite la prise en charge d'une extension TLS appelée Server Name Indication (SNI), tant du côté serveur que du côté client. Ce n'est pas un problème si vous utilisez des navigateurs modernes, mais cela peut l'être si vous avez affaire à des logiciels clients anciens.

L'article de Wikipédia sur le SNI présente une liste non exhaustive de liste des logiciels incompatibles avec des points forts comme Internet Explorer sur Windows XP, le navigateur par défaut dans Android 2.x, Java avant 1.7, etc.

Répondu el 5 de Mars, 2015 par Jacob (1861 Points )

0voto

TonyB avatar
TonyB Points 2482

Le seul problème est la compatibilité avec le client, certaines combinaisons navigateur/OS très anciennes ne fonctionneront pas, notamment Windows XP/IE8. Tout le reste (Chrome, Opera, Firefox, etc.) fonctionne sous Windows XP.

Vous n'avez pas besoin d'acheter quoi que ce soit, signez vous-même un des certificats (ou tous les certificats). La signature de l'AC n'a pas d'importance du côté du serveur, seulement du côté du client. Si vous importez votre AC dans le navigateur, il se comportera exactement comme s'ils avaient été signés par l'AC payante.

Répondu el 5 de Mars, 2015 par TonyB (2482 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X