分类
公司新闻

MPKI,VeriSign SSL证书、代码签名证书管理助手

 如果您正在管理SSL证书代码签名证书,那您是否正在经历下边这些传统证书管理中出现的问题呢?
  每张证书的签发、更新都需要全套的商务流程、完备的资料提交流程、复杂的审核验证流程、需要漫长的等待……
MPKI为您解决以上全部问题,她是阁下贴心的证书管理助手,她让一切化繁为简,现在就走进她吧!
  什么是MPKI?
  MPKI(Managed Public Key Infrastructure)是Symantec推出的针对VeriSign SSL品牌证书全生命周期的自主管理系统,一站完成多种类型SSL证书及代码签名证书产品的签发、续费、吊销、替换,省去资料提交、鉴证审核、商务流程等环节,降低成本,节省时间,且企业可根据自己需求随时进行证书的核发、重发等操作,自主便捷,安全高效,尤其让大批量证书管理者的工作化繁为简,是证书管理的贴心助手。
  MPKI的功能优势
  证书全生命周期自主管理
  企业可根据自身需求随时自主对MPKI中的证书进行签发、续费、重签、吊销、替换等操作,方便快捷.可以全面掌握您企业所有的证书,不用再由CA中心单独颁发。保持业务的连续性,防止未知证书过期。
 无需任何投入与费用,即可一键轻松管理全部证书
企业无需增加任何网络基础设施、人员、服务及系统维护费用的投入,登录MPKI系统即可轻松管理所有证书,与单独购买证书相比大大节省企业成本
预审机制
  企业注册管理员账户时即完成公司资质及域名的审核,一次审核,全年有效,通过审核即可随时签发证书,快速响应业务需求。省去资料提交、鉴证等过程,高效自主
  可扩展的云端证书管理服务
  基于云的控制台,企业可以轻松和快速部署MPKI,同时可根据应用需求灵活扩展证书的种类、数量及年限
弹性的管理权限
  企业证书管理员可以根据企业运营需求创建子账户,给予相应的权限,并集中进行管理
可自定义的证书签发流程
  企业证书管理员可以通过账户管理为相应证书量身定制注册流程,且管理员可自主完成证书签发,也可指派人员提交申请后由管理员统一签发
详细报告和审核跟踪
  MPKI可自动生成关于管理操作等统计报告,且可导出,安全合规。
  同一ssl凭证支持多种加密演算法
  同时支持RSA、DSA和ECC三种算法
 广泛的证书产品支持
  MPKI可根据您的证书应用需求,定制扩展产品。
统一管理服务支持签发VeriSign 强制型SSL证书、支持型SSL证书 及EVSSL强制型证书、EVSSL支持型证书和代码签名证书产品。同时,您还可以通过账户签发包含多个域名的多域名证书SAN)用于统一通讯服务(Unified Communications简称UC)金融应用证书(OFX)和微软OCS服务(Microsoft Office Communications Server)。多域名选项支持最高达100个域名。

MPKI,VeriSign SSL证书、代码签名证书管理助手-1

支持扩展证书为多域名SSL证书,最多支持100个子域名
无法仿冒的Symantec安全签章

每日网站恶意代码扫描管理
每周网站漏洞评估扫描管理
全球最广泛的客户端支持

分类
知识中心

如何应用单个IP地址共享443端口配置多个SSL虚拟主机

由于全球互联网络的迅猛发展,IPv4资源逐渐成为一种稀缺资源。传统的SSL证书安装配置办法(也是目前最稳定的解决方法)就是为每个 https 主机使用不同的IP地址。

如果直接按照http主机的配置办法配置 https 主机,就会出现一个很普遍的问题:不论浏览器请求哪个主机,都只会收到默认主机(配置的第一个443端口的虚拟主机)的证书。这是由SSL协议本身的特性引起的——先建立SSL连接,再发送 https 请求(即加密主机头)。所以服务器端在与客户端建立SSL连接时不知道客户端所请求主机的名字,因此服务器端只会返回默认主机的证书。

目前已有两种可行的方案来实现多个 https 主机共享一个IP地址的443端口:

1. 使用支持多个域名的证书(多域名SSL证书通配符SSL证书

多域名SAN(SubjectAltName)证书能够在一张证书中最多支持绑定25个域名。当需要为同一台物理服务器上的多个不同域名的主机配置SSL证书时,可通配置一张共享的多域名证书来实现IP地址和端口的共享。只需将所有虚拟站点的域名绑定到这张多域名SSL证书中即可。

可接受的域名格式

示例

国际顶级域名

www.domain.com、www.domain.net

CN顶级域名

www.domain.cn、www.domain.com.cn

其他顶级域名

www.seconddomain.com

子域名

server.domain.com、server.cn.domain.com…

服务器主机名

msexchange1

Intranet名称和内网域名

msautodiscovery、sercer.local

RFC 1597所规定的私有IP地址

192.168.0.0 – 192.168.255.255
10.0.0.0 – 10.255.255.255

至多一个公网IP地址

202.*.*.* …

通配符SSL证书是在一个单一的证书中,通用名(域名)字段中包含一个“*”通配符字段(*.example.com)。这使得该证书可以支持无限制数量的多个子域名(主机)。这张通配符证书也可作为虚拟主机的共享证书,为所有归属于同一域名下的二级域名实现https虚拟主机的IP地址共享。

对比多域名证书和通配符证书的产品特征可知,多域名证书受到“SubjectAltName”字段的长度限制,最多支持25个域名。而通配符证书虽然支持的域名数量不受限制,但只能支持同一域名下的二级子域名。在证书的应用中需要根据证书产品特点加以合理选择。

2.开启SNI支持

SNI 是“Server Name Indication”的缩写,全称“主机名称指示”。

TLS主机名指示扩展(SNI,RFC6066)允许浏览器和服务器进行SSL握手时,将请求的主机名传递给服务器,因此服务器可以得知需要使用哪一个证书来服务这个连接。但SNI只得到有限的浏览器和服务器支持。

SNI 客户端支持

Firefox 2.0 及后续版本

Opera 8.0及后续版本

Internet Explorer 7.0及后续版本(要求Windows最低Vista系统)

Google Chrome 所有版本(Windows版要求最低Vista系统)

Safari 3.2.1及后续版本(Mac OS版要求最低X 10.5.6 ;Windows版要求最低Vista系统)

SNI 服务器端支持

Nginx 0.5.32及后续版本

Apache 2.2.12及后续版本

IBM Http Server 7.0及后续版本

Apache 、Nginx 要求安装 Openssl0.98f(0.98j开始默认支持SNI) 或更高版本的 Openssl 支持。

SNI的配置

在Apache中配置SNI

在Apache配置文件中通过使用

Listen 443

NameVirtualHost *:443

<VirtualHost *:443>

……

ServerName www.example1.com

……

</VirtualHost>

<VirtualHost *:443>

……

ServerName www.example2.com

……

</VirtualHost>

开启虚拟主机配置

在Nginx中配置SNI

Nginx 中通过 nginx -v 命令查询当前已安装的版本对 SNI 功能的支持。在配置文件中通过

ssl_certificate common.crt;

ssl_certificate_key common.key;

server {

listen 443;

server_name www.example1.com;

ssl on;

}

server {

listen 443;

server_name www.example2.com;

ssl on;

}

开启SNI支持。

在IBM Http Server 7中配置SNI

IBM Http Server 7中配置SNI支持需要将多个证书密钥对合并到一个单独的kdb文件中来为不同虚拟站点配置使用不同证书。

使用 I Key Manager 工具打开 www.example1.com 的服务器证书 key.kdb 文件,切换到“个人证书”选项卡,选择“导入/导出”。然后选择证书导入密钥库,密钥库格式选择“CMS”格式,并选中 www.example2.com 的服务器证书 key.kdb 文件。将 www.example2.com 的服务器证书 key.kdb 中已存在的证书密钥对导入到 www.example1.com 的 key.kdb 文件中。导入过程中,修改导入的密钥对别名为 example2。

Listen *:443

NameVirtualHost *:443

<VirtualHost *:443>

ServerName www.example1.com

SSLEnable

SSLServerCert example1 # example1 是在 kdb 文件中,为 www. example1.com 的服务器证书密钥对设置的证书别名

</VirtualHost>

<VirtualHost *:443>

ServerName www.example2.com

SSLEnable

SSLServerCert example2 # example2 是在 kdb 文件中,为 www. Example2.com 的服务器证书密钥对设置的证书别名

</VirtualHost>

SSLDisable

KeyFile /opt/IBM/HTTPServer/key.kdb