IPv6を使用すると、インターフェイスに複数のアドレスを割り当てることができることがわかりました。単一の包括的な証明書を使用するのではなく、特定のアドレスに関連付けられている特定のhttps証明書を持つことができるように、この機能を活用したいと思います。 Linux(Ubuntu)のインターフェイスにバインドされたIPアドレスのセットを指定する方法を知っている人はいますか?
仮想ホストを指定するときにIPアドレスにバインドできるようにNginxを使用する予定です。
ちなみに、私が設定したサービスにアクセスするクライアントではIPv6が有効になっているので、IPv4ベースの接続を取得できないかどうか心配しません。
答え1
はい、インターフェイスにIPv6アドレスを好きなだけ割り当てることができます。実際にはIPv4アドレスも割り当てることができます。これはプログラムで行うことができますip(例sudo ip addr add 2001:db8:1:2::1/64 dev eth0:)。これは、トラフィックが同じインターフェイスを通過することを除いて、それぞれがアドレスを持つ複数のインターフェイスを持つのとほぼ同じです。再起動後もアドレスを保持する方法は、Linuxディストリビューションによって異なります。デプロイガイドを参照してください。
これらのアドレスを受信するサーバーを構成すると、アドレスごとに1つのインターフェースがあるかのように機能します。
答え2
何年も経っても、すべての証明書にIPアドレスを提供する必要はありません。 10年前は、すべての証明書にIPが必要であることが事実でした。
包括的な証明書と同様に、ほとんどのパブリックCAでは証明書の使用を推奨せず、発行を拒否することがよくあります。
私が知っている限り、ngINXはServer Name Indication(SNI)をサポートしているため、ngINXがSNIサポート(デフォルト)でコンパイルされる限り、複数の(SSL)仮想ホストを構成する必要があります。
SNIのポイントは、マルチホスト証明書を作成する必要がないことです。各仮想ホストに対して異なる証明書を生成します。したがって、仮想ホストwww.example1.comはwww.example1.comの証明書を指し、www.example2.comの仮想ホストはwww.example2.comのみを含む他の証明書を指します。
~からUbuntu 12.04でNginxを使用して1つのIPに複数のSSL証明書を設定する方法
SNIについて
単一の仮想プライベートサーバーで複数のサイトをホストすることはWebホスティングを使用するのは難しいことではありませんが、各サイトに別々のSSL証明書を提供するには、従来は別々のIPアドレスが必要でした。このプロセスは、最近サイト訪問者に要求されたサーバー名と一致する証明書を送信するサーバー名の表示(SNI)を使用して簡素化されました。