Я відповім на це в два кроки ...
Вам потрібен сертифікат SSL для кожного субдомену?
Так і Ні, це залежить. Скажімо, ваш стандартний сертифікат SSL для одного домену www.domain.example
. Існують різні типи сертів, які можна відмовитися від стандартних однодоменних cert: wildcard та certs з декількома доменами.
Сертифікат підказки буде виданий на щось подібне, *.domain.example
і клієнти вважатимуть це дійсним для будь-якого домену, який закінчується domain.example
, наприклад, www.domain.example
або ws.domain.example
.
Кілька доменів Серт дійсно в протягом заздалегідь визначеного списку доменних імен. Це робиться за допомогою поля альтернативного імені суб'єкта cert. Наприклад, ви можете сказати CA, що ви хочете багатодоменний cert для domain.example
і ws.mysite.example
. Це дозволить використовувати його для обох доменних імен.
Якщо жоден з цих варіантів не працює для вас, вам знадобиться мати два різних сертифікати SSL.
Чи потрібен виділений IP для кожного субдомену?
Знову ж таки, це так і ні ... все залежить від вашого сервера веб / додатків. Я хлопець Windows, тому відповім на прикладах IIS.
Якщо ви працюєте з IIS7 або старішою версією, ви змушені прив’язувати SSL-серти до IP, і ви не можете мати декілька цертів, присвоєних одному IP-адресу. Це призводить до того, що вам потрібно мати різний IP для кожного піддомену, якщо ви використовуєте виділений сервер SSL для кожного піддомену. Якщо ви використовуєте багатодоменний cert або wildcrt cert, тоді ви можете піти з єдиного IP, оскільки у вас буде лише один сервер SSL.
Якщо ви працюєте з IIS8 або новішою версією, то це стосується того ж. Однак IIS8 + включає підтримку чогось, що називається Вказівка Імені Сервера (SNI). SNI дозволяє прив’язувати SSL-серт до імені хоста, а не до IP. Отже, ім'я хоста (ім'я сервера), яке використовується для подання запиту, використовується для вказівки, до якого запиту повинен бути сервер SSL, який повинен використовувати IIS.
Якщо ви використовуєте єдиний IP-адресу, ви можете налаштувати веб-сайти, щоб відповідати на запити конкретних імен хостів.
Я знаю, що Apache та Tomcat також мають підтримку SNI, але я їх недостатньо знайомий, щоб знати, які версії його підтримують.
Нижня лінія
Залежно від вашої програми / веб-сервера та того, який тип сертифікатів SSL ви можете отримати, буде диктувати ваші параметри.