Я створюю сервер websocket, на якому буде жити ws.mysite.example. Я хочу, щоб сервер веб-сокетів був зашифрований SSL, а також domain.exampleбув зашифрований SSL. Чи потрібно купувати новий сертифікат для кожного створеного субдомену? Чи потрібна спеціальна IP-адреса для кожного створеного піддомену? У мене, ймовірно, буде більше одного піддомену.
Я використовую NGINX та Gunicorn, що працюють на Ubuntu.
Відповіді:
Я відповім на це в два кроки ...
Вам потрібен сертифікат SSL для кожного субдомену?
Так і Ні, це залежить. Скажімо, ваш стандартний сертифікат SSL для одного домену www.domain.example. Існують різні типи сертів, які можна відмовитися від стандартних однодоменних cert: wildcard та certs з декількома доменами.
Сертифікат підказки буде виданий на щось подібне, *.domain.exampleі клієнти вважатимуть це дійсним для будь-якого домену, який закінчується domain.example, наприклад, www.domain.exampleабо ws.domain.example.
Кілька доменів Серт дійсно в протягом заздалегідь визначеного списку доменних імен. Це робиться за допомогою поля альтернативного імені суб'єкта cert. Наприклад, ви можете сказати CA, що ви хочете багатодоменний cert для domain.exampleі ws.mysite.example. Це дозволить використовувати його для обох доменних імен.
Якщо жоден з цих варіантів не працює для вас, вам знадобиться мати два різних сертифікати SSL.
Чи потрібен виділений IP для кожного субдомену?
Знову ж таки, це так і ні ... все залежить від вашого сервера веб / додатків. Я хлопець Windows, тому відповім на прикладах IIS.
Якщо ви працюєте з IIS7 або старішою версією, ви змушені прив’язувати SSL-серти до IP, і ви не можете мати декілька цертів, присвоєних одному IP-адресу. Це призводить до того, що вам потрібно мати різний IP для кожного піддомену, якщо ви використовуєте виділений сервер SSL для кожного піддомену. Якщо ви використовуєте багатодоменний cert або wildcrt cert, тоді ви можете піти з єдиного IP, оскільки у вас буде лише один сервер SSL.
Якщо ви працюєте з IIS8 або новішою версією, то це стосується того ж. Однак IIS8 + включає підтримку чогось, що називається Вказівка Імені Сервера (SNI). SNI дозволяє прив’язувати SSL-серт до імені хоста, а не до IP. Отже, ім'я хоста (ім'я сервера), яке використовується для подання запиту, використовується для вказівки, до якого запиту повинен бути сервер SSL, який повинен використовувати IIS.
Якщо ви використовуєте єдиний IP-адресу, ви можете налаштувати веб-сайти, щоб відповідати на запити конкретних імен хостів.
Я знаю, що Apache та Tomcat також мають підтримку SNI, але я їх недостатньо знайомий, щоб знати, які версії його підтримують.
Нижня лінія
Залежно від вашої програми / веб-сервера та того, який тип сертифікатів SSL ви можете отримати, буде диктувати ваші параметри.
abc.def.domain.com, це теж так?
Ви можете отримати сертифікат для кожного субдомену, сертифікат декількох субдоменів або сертифікат підстановки (для *.yoursite.example).
Зазвичай вони коштують трохи більше, ніж звичайні сертифікати, і тому, що ви ділитеся одним сертифікатом, вони, як правило, не найкращий варіант з точки зору безпеки, якщо ви не розміщуєте anything.mydomain.exampleтип програми, де вони є єдиним можливим вибором.
Також вам не потрібно декілька IP-адрес, якщо у вас є веб-сервер, що підтримує SNI . З цього приводу, SNI підтримується лише в сучасних браузерах (IE6 і нижче не працюватимуть з ним). Останні версії Nginx та Apache прозоро підтримують SNI (просто додайте віртуальні хости, що підтримуються SSL).
Вам або знадобиться окремий серт для кожного піддомену, або ви можете придбати символ cert ( *.domain.example) - дорожче, але має сенс, якщо ви розміщуєте багато субдоменів.
Що стосується IP-адрес, це залежить від налаштування сервера. Ви можете використовувати правила імені хоста для обслуговування кількох сайтів з одного IP-адреси або використовувати унікальні IP-адреси для кожного. Для обох методів є плюси і мінуси.