Вопросы Теги

Каждому субдомену нужен свой собственный сертификат SSL?

У меня нет для тестирования с, но другие Продукты Cisco выписывают к стандартному форматированию PCAP.

Попробуйте Wireshark (http://www.wireshark.org) - его свободное.

41
задан 25 June 2019 в 20:18
4 ответа

I'll answer this in two steps...

Do You Need an SSL Cert for Each Subdomain ?

Yes and No, it depends. Your standard SSL certificate will be for single domain, say www.domain.example. There are different types of certs you can aside from the standard single domain cert: wildcard and multi domain certs.

  • A wild card cert will be issued for something like *.domain.example and clients will treat this as valid for any domain that ends with domain.example, such as www.domain.example or ws.domain.example.

  • A multi domain cert is valid for a predefined list of domain names. It does this by using the Subject Alternative Name field of the cert. For example, you could tell an CA that you want a multi domain cert for domain.example and ws.mysite.example. This would allow it to be used for both domain names.

If neither of these options work for you, then you would need to have two different SSL certs.

Do I Need a Dedicated IP for Each Subdomain ?

Again, this is a yes and no...it all depends on your web/application server. I am a Windows guy, so I will answer with IIS examples.

  • If you are running IIS7 or older, then you are forced to bind SSL certs to an IP and you can not have multiple certs assigned to a single IP. This causes you to need to have a different IP for each subdomain if you are using a dedicated SSL cert for each subdomain. If you are using a multi domain cert or a wildcard cert, then you can get away with the single IP as you only have one SSL cert to begin with.

  • If you are running IIS8 or later, then the same applies. However, IIS8+ includes support for something called Server Name Indication (SNI). SNI allows you to bind an SSL cert to a hostname, not to an IP. So the hostname (Server Name) that is used to make the request is used to indicate which SSL cert that IIS should use to for the request.

  • If you use a single IP, then you can configure websites to respond to requests for specific hostnames.

I know that Apache and Tomcat also have support for SNI, but I am not familiar them enough to know what versions support it.

Bottom Line

Depending on your application/web server and what type of SSL certs you are able to obtain will dictate your options.

44
ответ дан 28 November 2019 в 19:43

Вам понадобится либо отдельный сертификат для каждого поддомена, либо вы можете приобрести сертификат с подстановочными знаками ( *. Domain.example ) - дороже, но имеет смысл, если вы размещают много поддоменов.

Что касается IP-адресов, это зависит от того, как вы настроили свой сервер. Вы можете использовать правила имени хоста для обслуживания нескольких сайтов с одного и того же IP-адреса или использовать уникальные IP-адреса для каждого из них. У обоих методов есть свои плюсы и минусы.

0
ответ дан 28 November 2019 в 19:43

Вы можете получить сертификат для каждого поддомена, сертификат нескольких поддоменов или подстановочный знак сертификат (для *. yoursite.example ).

Обычно они стоят немного дороже, чем обычные сертификаты, и поскольку вы используете один сертификат, они, как правило, не лучший вариант с точки зрения безопасности, если только вы не размещаете приложение типа something.mydomain.example , где они являются единственным приемлемым выбором.

Вы также не требуется несколько IP-адресов, если у вас есть веб-сервер с поддержкой SNI . При этом SNI поддерживается только в современных браузерах (IE6 и ниже не будут работать с ним). Последние версии Nginx и Apache прозрачно поддерживают SNI (просто добавьте виртуальные хосты с поддержкой SSL).

SNI поддерживается только в современных браузерах (IE6 и более ранние версии с ним не работают). Последние версии Nginx и Apache прозрачно поддерживают SNI (просто добавьте виртуальные хосты с поддержкой SSL).

SNI поддерживается только в современных браузерах (IE6 и более ранние версии с ним не работают). Последние версии Nginx и Apache прозрачно поддерживают SNI (просто добавьте виртуальные хосты с поддержкой SSL).

7
ответ дан 28 November 2019 в 19:43

Я рекомендую "getssl" для создания сертификата SSL для поддомена, размещенного на другом сервере. 

Let't say: 
You have a primary domain (example.com) with SSL Cert on SERVER A. 
You have a subdomain (vm1.example.com) without SSL Cert on SERVER B.

Вы можете использовать «getssl», чтобы создать SSL-сертификат для поддомена, который использует letsencrypt.org

2
ответ дан 24 June 2021 в 18:05

Теги

Похожие вопросы