Содержание

Можно ли использовать SSL сертификат основного домена для поддоменов на стороннем сервере? — Хабр Q&A

1. Только, если это оговорено заранее. Такие сертификаты называются wildcard. Но следует иметь в виду, что wildcard-сертификат не распространяется на корневой домен. То есть сертификат, выданный на *.server.net, для самого server.net — не подойдет.
2. Если сертификат физически на другом сервере — нет.
3. Если каждый поддомен на отдельном сервере — нужно получать по сертификату на каждый поддомен
4. Очень сильно зависит от того, сертификат с какой проверкой запросите. Если с минимальной — там хоть кто может его получить. Если с подтверждением — то такой сертификат лучше получать самому заказчику.

Ответ написан

Комментировать

1. Нет, если сертификат не Wildcard;
2. На другом сервере потребуется установка сертификата;

3. Сертификат должен защищать желаемый поддомен явно или быть wildcard-сертификатом;
4. Получить сертификат dv-типа можно не будучи правообладателем, если есть доступ к управлению доменом или поддоменом, для этого достаточно разместить на хостинге проверочный файл, сформированный удостоверяющим центром.

Ответ написан

Комментировать

1. нет. обычно сертификаты выдаются только на один домен (иногда выдают на домен и www.домен)

2. нет, смотри пункт 1. нужно делать отдельные сертификаты. перенести публичный и закрытый ключ на другой сервер не проблема, главное чтобы сертификаты были выпущены для этого домена/поддомена, где они расположены не играет никакой роли.
3. нужно сначала определиться какие нужны сертификаты. если хватит и бесплатно, то смотрите в сторону https://letsencrypt.org/ например.
4. сможете, вы же контактируете с правообладателями в любом случае =)

Ответ написан

более трёх лет назад

Ульрих всё более или менее верно написал.
Но есть ряд уточнений:
по п.3 — Let’s encrypt позволяет добавлять и удалять домены из сертификата после его выдачи;
по п.4 — обычный сертификат на требует сложных проверок и вам будет достаточно лишь удостоверить ваше управление веб-сервером, где размещается сайт под именем домена your.domain, для которого запрашивается сертификат, либо иметь доступ к почтовой запиcи [email protected] (hostmaster, webmaster).

Ответ написан

Комментировать

1. Зависит от типа сертификата на основном домене.
а) Если это типовой Comodo PositiveSSL или аналоги -нет, не будет. Т.к. они рассчитаны на защиту одного домена любого вида.
б) Если это WildCard — защищен будет основной домен и поддомен на 1 уровень «вглубь»(если так можно выразиться). Например:
Основной домен: ромашка.ру,
Поддомены: моя.ромашка.ру, твоя.ромашка.ру и т.д.

Основной домен: моя.ромашка.ру

Поддомены: почта.моя.ромашка.ру, база.моя.ромашка.ру и т.д.

в) Если это Multidomain сертификат, то будут защищены все необходимые домены и поддомены, единственное, что каждый поддомен придется указывать как самостоятельный домен. Это будет затратно и не выгодно. Т.к. в стоимость сертификата обычно входит только 2 или 3 защищаемых домена, за каждый дополнительный придется доплачивать.

Уточнение: RapidSSL Wildcard будет работать только в случае если основной домен вида: ромашка.ру. К остальным поставщикам сертификатов это не относится.

2. Будет работать Wildcard. Необходимо будет установить его на все серверы, где расположены домен и поддомены.

3. При формирования заказа на сертификат, если типовой сертификат Comodo PositiveSSL, то просто заказывать на домен и каждый поддомен отдельный сертификат. Если Wildcard, то при формирования заказа указать домен и все поддомены.
4. Заказ на сертификат можете сделать и вы, если вы будете являться контактным лицом и у вас есть доступ к необходимым почтовым ящикам и информации о компании. Владельцем сертификата в любом случае будет клиент.

Ответ написан

Комментировать

Here is my feedback:

  1. If you have taken Wildcard SSL certiifcate or Multi domain SSL certiifcate then you can enable that SSL certificate only to sub domains of the main domain.
  2. If that Wildcard SSL certificate has feature of unlimited server license then yes sub domains are located on another server can also be secured.
  3. You will have to just copy private key to each server.
  4. Either you can directly order the ssl certificate or you give advice to client to purchase it.

Ответ написан

Комментировать

Как подключить SSL-сертификат к своему домену

Бесплатные и платные SSL-сертификаты. Виды сертификатов. Какой сертификат выбрать.

При подключении своего домена к школе в Zenclass вы наверняка захотите подключить к нему и SSL-сертификат, чтобы сайт был доступен по защищённому протоколу https. Есть несколько возможных вариантов.

Бесплатный сертификат от Let’s Encrypt

Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации. Его поддерживают многие крупные компании, в том числе Mozilla, Google, Amazon.

При подключении своего домена к школе этот сертификат всегда добавляется к домену сотрудниками Zenclass, делать вам для этого ничего не нужно.

Сертификаты от Let’s Encrypt корректно поддерживаются большинством современных устройств, однако с 1 октября 2021 года множество старых устройств перестали открывать сайты, на которых установлены эти сертификаты. Почти во всех случаях проблему можно решить обновлением ПО на проблемном устройстве, но фактически многие пользователи не желают или не могут обновиться.

Поэтому есть альтернатива — сертификат от более старого центра сертификации, но такие сертификаты платные.

Бесплатный сертификат от CloudFlare 

CloudFlare — сервис, предлагающий различные услуги, связанные с сетевой доступностью вашего сайта. Если вы пользуетесь этим сервисом, то там же можете получить бесплатный SSL сертификат.

Когда ваш сайт добавлен в CloudFlare, перейдите в раздел «SSL/TLS — Edge Certificates» и включите универсальный сертификат, если он не включен по умолчанию.

При подключении своего домена к школе обязательно сообщите сотрудникам Zenclass, что ваш домен находится под управлением CloudFlare. Все остальное мы настроим сами.

Платный сертификат

Платные сертификаты предоставляют разные компании. Популярные варианты: GlobalSign, ComodoSSL и SSL.com (есть и другие). В какую именно компанию обратиться — вопрос предпочтений. Технически сертификаты всех этих компаний будут работать одинаково.

Однако бывают разные виды сертификатов. Рассмотрим каждый из них.

DV-сертификат

DV = Domain Validation. По смысловой нагрузке аналогичен бесплатному сертификату от Let’s Encrypt и поэтому подойдет большинству онлайн-школ. Защищает соединение между клиентом и сервером.

Выпускается быстро, не требует долгих подтверждений и согласований.

OV-сертификат

OV = Organization Validation. Подходит для юридических лиц (официально зарегистрированных компаний). Такой сертификат говорит о том, что предоставленные данные о компании проверил сотрудник сертификационного центра.  

Выпуск такого сертификата обычно занимает пару дней. Стоит дороже, чем DV.

EV-сертификат

EV = Extended Validation. Подходит для крупных организаций, так как при выпуске такого сертификата происходит проверка подлинности в соответствии с самыми высокими стандартами в индустрии. В веб-браузере рядом со значком замка обычно пишется название компании, хотя в последнее время многие разработчики браузеров склоняются к тому, чтобы скрывать эту информацию.

Считается, что такой сертификат вызывает наибольшее доверие пользователей. Выпуск сертификата занимает ещё больше времени. Стоит ещё дороже, чем OV.

Wildcard-сертификат

Все перечисленные выше сертификаты выпускаются для одного конкретного домена. Например, если адрес вашего сайта zenclass.ru, то вы не сможете использовать такой сертификат на сайте zenclass.net, а также на поддоменах — например, example.zenclass.ru.

Чтобы использовать один сертификат на нескольких поддоменах, можно приобрести wildcard-сертификат. Такой сертификат распространяется на конкретный домен и все его поддомены в неограниченном количестве. Но он не распространяется на дополнительные домены.

Таким образом, если у вас есть отдельный сайт example.com, а также сайт школы school.example.com, то вы скорее всего захотите приобрести wildcard-сертификат.

Технически он не отличается от обычного DV-сертификата, выпускается также быстро. Но стоит дороже. Кстати, бесплатные сертификаты от Let’s Encrypt поддерживают wildcard.

Что выбрать?

Если ваши пользователи используют современные устройства, либо если вы готовы объяснять некоторым из них, почему сайт не открывается, то однозначно Let’s Encrypt. Выпуск бесплатный и автоматический: специалисты Zenclass всё сделают сами при подключении к школе вашего домена.

Если же вас не устраивает, что у части пользователей с устаревшим ПО не откроется сайт школы, то выбирайте любой удобный вам центр сертификации и покупайте сертификат у них. Почти наверняка подойдет Wildcard-сертификат. После покупки потребуется выполнить все действия по инструкции продавца и отправить в поддержку файл (обычно он приходит на емейл или доступен для скачивания в личном кабинете) для загрузки его на сервер.

А можно вообще без сертификата?

Можно подключить домен и не подключать к нему SSL-сертификат. Об этом потребуется сообщить сотрудникам поддержки при оформлении запроса на подключение к школе своего домена. 

В таком случае сайт будет работать. Но некоторые браузеры могут выдавать различные информационные сообщения о том, что соединение не защищено. В современных реалиях лучше все же иметь SSL-сертификат.

Что если мой сайт на одном хостинге, а школа на Zenclass

Пример: ваш основной сайт example.com находится на каком-то хостинге, а вы хотите привязать школу в Zenclass к поддомену school.example.com.

Если у вас уже подключен SSL к основному сайту, то узнайте, является ли сертификат Wildcard. Если да, то вы можете подключить его и к школе в Zenclass. Для этого потребуется прислать файл сертификата в поддержку.

Если не является, то есть два варианта:

  1. Выпустить отдельный сертификат для school.example.com.

  2. Выпустить новый Wildcard сертификат, подходящий для обоих сайтов сразу.

Как получить бесплатный Wildcard SSL-сертификат

Мы уже рассказывали, как получить бесплатный SSL-сертификат от сервиса Let’s Encrypt. Сегодня они анонсировали поддержку бесплатных Wildcard сертификатов — событие, которого все давно ждали.

Wildcard SSL-сертификат отличается от обычного тем, что выдаётся не на одно доменное имя (например, ifmo.su), а сразу на группу поддоменов (*.ifmo.su). В эту группу входят example.ifmo.su, bot.ifmo.su и даже thisisdummydomain.ifmo.su, то есть на неограниченное количество вариантов.

Такие сертификаты существенно упрощают жизнь администратору. Теперь не нужно отдельно получать и обновлять сертификат для каждого поддомена — достаточно проделать всю процедуру один раз.

Подготовка

Для получения и установки Wildcard-сертификата мы будем использовать утилиту ACME.sh, которая уже из коробки поддерживает работу с Let’s Encrypt.

Подключитесь по SSH к вашему серверу и выполните следующие команды:

curl https://get.acme.sh | sh

Вы увидите сообщение об успехе, а в вашей домашней директории появится папка .acme.sh

Успешная установка

Получение сертификата

Перейдите в директорию .acme.sh и выполните следующую команду, заменив в ней адрес домена ifmo.su на ваш. 

cd .acme.sh ./acme.sh --issue -d *.ifmo.su --dns

Acme.sh соединится с сервисом Let’s Encrypt по протоколу ACMEv2 для получения заявки на сертификат. Вы увидите следующий результат.

Ответ сервиса по протоколу ACMEv2

В этом сообщении вам говорят, что необходимо создать в панели управления доменом TXT-запись для домена 

_acme-challenge. ifmo.su со значением Q1b4d3J9BwRqQ-Z3qlu6soL4YuF9BG1Y212QI3ie3K4.

Установка DNS-записей

Теперь вам нужно найти панель управления DNS-записями у вашего хостинг-провайдера и добавить туда требуемую запись.

Например, панель управления DNS нашего хостинга выглядит следующим образом:

Панель управления доменами Vscale

После того, как вы добавите TXT-запись, выполните следующую команду

./acme.sh -d *.ifmo.su --renew

Сервис Let’s Encrypt проверит TXT-запись и убедится, что вы действительно владелец домена. Результат не заставит себя ждать.

Успешный выпуск сертификата

На экране будет указано, где расположены файлы сертификата. В нашем случае, это директория /root/.acme.sh/*.ifmo.su

Сертификат для основного домена

Важно отметить, что SSL-сертификат мы получили на все домены в зоне *.ifmo.su. Однако, на сам ifmo. su нужно выписывать отдельный сертификат. Для этого достаточно выполнить команду и повторить все операции.

./acme.sh --issue -d ifmo.su --dns

Можно было при регистрации Wildcard-сертификата указать сразу несколько доменов.

./acme.sh --issue -d *.ifmo.su -d ifmo.su --dns

Обратите внимание, что для подключения поддоменов, вы должны использовать верификацию через DNS и создавать TXT-записи.

Обычные же сертификаты на один домен можно получить другими более простыми способами. Подробнее читайте в нашей предыдущей статье и в официальной документации.

Другие клиенты

Существуют и другие утилиты, поддерживающие работу с Let’s Encrypt. Например, с помощью certbot можно получить сертификат схожим образом:

./certbot-auto certonly --manual -d *.ifmo.su --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02. /(static) { try_files $uri =404; access_log off; log_not_found off; } location / { } }

В данном примере мы скопировали ключи из /root/.acme.sh/*.ifmo.su/*.ifmo.su.cer в /etc/ssl/ifmo.su.cer и /root/.acme.sh/*.ifmo.su/*.ifmo.su.key в /etc/ssl/ifmo.su.key.

После этого вы сможете перейти на любой поддомен вашего сайта по протоколу HTTPS.

Подведём итоги 

С помощью сервиса Let’s Encrypt и утилит acme.sh или certbot можно легко и быстро получить бесплатный Wildcard SSL-сертификат для всех своих доменов и их поддоменов. Сертификат будет действителен в течение трёх месяцев, однако, его не составит труда обновить, действуя по нашей инструкции.

SSL-сертификат

для субдомена — как мне получить его для моего веб-сайта?

SSL/TLS — это безопасный протокол, который устанавливает зашифрованный канал связи между веб-браузером и веб-сервером. Это снижает риск раскрытия или кражи конфиденциальной информации похитителями личных данных или хакерами.

Сертификат SSL/TLS, установленный на сервере, служит двойной цели: обеспечивает безопасный канал для связи, а также идентифицирует личность веб-сайта.

Несколько крупных игроков на этом рынке предлагают различные типы цифровых сертификатов. Мы рассмотрим два из них, а именно подстановочные и многодоменные подстановочные SSL-сертификаты, которые используются для защиты поддоменов.

Что такое субдомен?

Так как название немного напоминает спойлер, вы, вероятно, иметь представление о том, что такое субдомен. Но ради охвата всех основания, рассмотрим пример.

Тодд и Боб — два деловых партнера, которые решили построить веб-сайт местного фруктового магазина. Наш друг Тодд регистрирует домен www.fruitshop.com, где он пишет все о том, кто они, где они находятся и т. д. Однажды Боб вмешивается и предлагает им создать отдельные URL-адреса для своих страниц продуктов и страница блога, чтобы помочь организовать веб-сайт. Он предлагает:

  • products. fruitshop.com и
  • blog.fruitshop.com.

В соответствии с иерархией DNS, переход справа на оставленный в веб-адресе products.fruitshop.com:

  • «.com» — домен верхнего уровня,
  • fruithop.com — домен второго уровня или корневой домен,
  • и products.fruitshop.com — поддомен (или домен третьего уровня).

Поддомен или дочерний домен — это раздел корня домен или родительский домен, созданный для удобства навигации.

Нужен ли вам SSL для субдомена

Если вы спрашиваете, нужен ли вам SSL для субдомена, ответ положительный. SSL-сертификат подтверждает вашу личность и устанавливает безопасный канал связи между клиентом и веб-сайтом. Если у вас нет SSL для вашего поддомена, это создаст возможность для злоумышленников перехватить разговор через поддомен. Таким образом, защита каждого поддомена является обязательной. Но хорошая новость заключается в том, что вам не нужно покупать отдельные SSL-сертификаты для всех ваших зарегистрированных субдоменов. Один подстановочный сертификат может защитить ваш основной домен и все ваши поддомены первого уровня.

Защита моих субдоменов с помощью одного SSL-сертификата

Итак, теперь, когда у нас есть представление о том, что такое SSL-сертификат и как он связан с субдоменами, давайте рассмотрим, как они вступают в игру при защите субдоменов.

Прежде всего, важно отметить, что SSL-сертификат для одного домена (или стандартный SSL-сертификат) будет охватывать только один домен. При создании с помощью WWW большинство центров сертификации (Cas) бесплатно защищают не-WWW-версию, но это все. Для крупных компаний с несколькими доменами и поддоменами это невыполнимое решение, поскольку управлять несколькими сертификатами становится сложно, и это нерентабельно. Как подстановочные, так и многодоменные подстановочные SSL-сертификаты, которые мы обсудим ниже, помогают защитить несколько поддоменов с помощью одного сертификата.

Подстановочный SSL-сертификат

Подстановочный SSL-сертификат используется, если у вас есть несколько поддоменов, которые необходимо защитить на одном уровне. Выдается единый сертификат для шифрования вашего домена вместе с неограниченным количеством субдоменов.

Например, у Боба из нашего предыдущего примера есть другой веб-сайт www.site.com со 100 субдоменами:

  • subdomain1.site.com,
  • subdomain2.site.com,
  • subdomain3.site.com и т. д. .

Мало того, что индивидуальная защита этих URL-адресов будет дорогостоящей, но управлять ими может быть проблематично.

Вместо этого, используя подстановочный знак SSL, *.site.com будет автоматически защитите все 100 субдоменов за один раз, используя один сертификат. Обратите внимание, что звездочка используется для указания уровня защищаемого поддомена. В В этом случае *.site.com защитит все на третьем уровне, но URL blog.subdomain1.site.com (субдомен четвертого уровня) не будет зашифрован.

Подстановочные SSL-сертификаты доступны для двух уровней проверка – проверка домена (DV) и организация валидация (ОВ).

Защитите неограниченное количество поддоменов с одним подстановочным SSL-сертификатом — сэкономьте 50%

Сэкономьте 50% на сертификатах Sectigo Wildcard SSL. Он включает неограниченные серверные лицензии, перевыпуск, 256-битное шифрование и многое другое.

Приобретите Wildcard SSL и сэкономьте 50%

Многодоменный Wildcard SSL-сертификат

домены и поддомены, которые необходимо защитить? Ответ, в данном случае, состоит в том, чтобы использовать цифровой сертификат, называемый мультидоменным подстановочный SSL. Один сертификат выдается для шифрования до 250 доменов вместе со своими поддоменами на нескольких уровнях.

Например, рассмотрим Боба из нашего предыдущего примера. В помимо сотни поддоменов, у него есть еще один веб-сайт, www.example.com, с 10 поддоменов —

  • subdomain1.example.com,
  • subdomain2.example.com,
  • subdomain3.example.com и так далее.

Кроме того, у него есть еще два домена — www.example2.net и www.example3.org — которые, в свою очередь, имеют многоуровневые поддомены —

  • subdomain1.example2.net,
  • subdomain2.example2 .нет,
  • blog. subdomain1.example2.net,
  • products.subdomain1.example2.net и так далее.

Чтобы защитить их, он может перечислить *.example.com, *.example2.net, *.subdomain1.example2.net в качестве альтернативных имен субъектов или SAN на сертификат. Точно так же можно перечислить SAN для веб-сайта www.example3.org. в сертификате в соответствии с требованиями.

SSL-сертификаты с подстановочными знаками для нескольких доменов доступны для двух уровней проверки — DV и OV.

Защитите до 250 нескольких доменов с помощью одного многодоменного SSL — сэкономьте 50%

Сэкономьте 50% на мультидоменных SSL-сертификатах Sectigo. Он включает неограниченные серверные лицензии, перевыпуск, 256-битное шифрование и многое другое.

Приобретите многодоменный SSL и сэкономьте 50%

Вкратце

Выбор между групповым SSL и мультидоменным подстановочным знаком SSL-сертификат — это просто. Если наряду с поддоменами вам нужен сертификат, который охватывает несколько полных доменных имен (FQDN), выберите многодоменный подстановочный сертификат. Если нет, то для защиты основного домена и его поддоменов, подстановочный SSL-сертификат был бы идеальным решением.

Выберите правильный SSL-сертификат для поддоменов

Лучшие SSL-сертификаты для поддоменов — Подробное руководство по исследованию

Если вы читаете эту статью, мы можем предположить, что вы уже имеете базовое представление о поддоменах. Однако, если технические детали, связанные с поддоменами, не совсем понятны при покупке SSL-сертификата, даже небольшая ошибка становится необратимой и может привести к потере ваших денег. Итак, давайте сначала рассмотрим все основы, касающиеся субдоменов. (Если вы все это уже знаете, прокрутите вниз, чтобы пропустить!)

Что такое поддомены?

Субдомен — это подразделение родительского домена в иерархии системы доменных имен (DNS). Он также известен как дочерний домен. Несколько примеров пояснят:

В веб-адресе images.mydomain.com суффикс «.com» — это домен первого уровня или TLD (домен верхнего уровня), «mydomain. com» — это домен второго уровня. domain (корневой домен), а «images.mydomain.com» — домен третьего уровня, т. е. поддомен.

Субдомены также бывают нескольких уровней. В приведенном выше примере домен третьего уровня images.mydomain.com является поддоменом первого уровня корневого домена mydomain.com.

  • xyz.com=основной домен/основной домен/корневой домен
  • *.xyz.com=поддомен первого уровня , где * может быть любым словом, буквой или цифрой
  • Например, blog.xyz.com , login.xyz.com , mail.xyz.com и т. д.

Почему субдомены популярны?

Субдомены очень полезны при организации веб-сайтов. Разные субдомены могут быть для разных категорий, типов контента или даже разного программного обеспечения, например, images.mywebsite.com, products.mywebsite.com и offer.mywebsite.com. Часто поддомены используются для размещения разных, но связанных веб-сайтов: например, компании могут размещать нишевые веб-сайты для определенных кампаний или групп пользователей на поддоменах.

Почему я должен защищать все свои субдомены сертификатом SSL (HTTPS)?

Когда вы покупаете SSL-сертификат для одного домена для основного домена, он не защищает сопутствующие субдомены. Например, SSL с одним доменом для newsite.com защитит newsite.com/products, но не products.newsite.com.

Однако защита поддомена с помощью SSL-сертификата так же важна, как и защита основного домена. С 2014 года Google объявил, что отдает предпочтение зашифрованным веб-страницам. Для всех HTTP-сайтов Google Chrome показывает отметку «НЕ БЕЗОПАСНО» перед названием веб-сайта в адресной строке. Если вы защитите только свой основной домен с помощью HTTPS, но не субдомены, Google Chrome покажет предупреждение «НЕ ЗАЩИЩЕНО» для всех этих веб-страниц субдоменов. Пользователи могут не доверять этим веб-страницам и решить не иметь дело с вашим веб-сайтом, что в конечном итоге повлияет на ваш онлайн-бизнес.

Кроме того, если у вас есть поддомены для корзины покупок, страниц продуктов, страниц подписки, контактных форм и т. д., где пользователям необходимо войти в систему со своим идентификатором и паролем и/или ввести свои банковские реквизиты или данные кредитной/дебетовой карты, такие поддомены должны быть зашифрованы и защищены сертификатом SSL.

Защита всего вашего веб-сайта с помощью SSL-сертификата, включая все ваши субдомены, — это не роскошь. Это необходимо для того, чтобы обезопасить свой онлайн-бизнес и завоевать доверие ваших клиентов.

Можно ли защитить мой домен и поддомен с помощью одного SSL-сертификата?

Да, теперь вам не нужно покупать отдельные SSL-сертификаты для всех ваших поддоменов и проходить процесс верификации, генерации CSR, установки и продления для каждого из них отдельно. Благодаря подстановочному SSL-сертификату.

Вы можете защитить свой основной домен и неограниченное количество субдоменов на первом уровне с помощью одного SSL-сертификата субдомена .

В зависимости от потребностей вашей организации существует два разных типа Wildcard SSL. Оба типа доступны на уровнях проверки DV и OV.

  1. Подстановочный знак SSL для поддомена

    С помощью подстановочного SSL вы можете защитить один основной домен и неограниченное количество поддоменов первого уровня для этого конкретного домена.
    Например: mydomain.com (основной домен) и www.mydomain.com, blog.mydomain.com, admin.mydomain.com и т. д. — без ограничений.

  2. Многодоменный подстановочный знак SSL для нескольких доменов и их субдоменов

    С помощью этого параметра вы можете защитить несколько основных доменов и неограниченное количество поддоменов первого уровня на этих основных доменах. Когда вы покупаете многодоменный подстановочный SSL-сертификат, вам необходимо проверить, сколько SAN (альтернативных имен субъектов) включено в него. Эти SAN представляют собой количество основных доменов (и неограниченное количество связанных поддоменов), на которые распространяется этот конкретный сертификат SSL. Большинство многодоменных подстановочных сертификатов по умолчанию включают от 2 до 4 SAN и могут охватывать до 250 доменов с одним и тем же SSL-сертификатом с дополнительной оплатой за каждую дополнительную SAN.

Например,

newssite.com (основной домен) и www.newsite.com, блог. newssite.com, админ. newssite.com- без ограничений

И

Newdomain.ca (основной домен) и www.newdomain.ca, blog.Newdomain.ca, admin. Newdomain.ca-unlimited

И

Blog.domain.co.uk (основной домен) и pics.blog.dmain.co.uk, login.blog.domain.co.uk-unlimited

Сравните SSL-сертификаты с подстановочными знаками для Поддомены

Вот наши самые популярные продукты с подстановочными знаками:

 
Характеристики Подстановочный знак Comodo PositiveSSL Подстановочный знак RapidSSL Подстановочный знак GeoTrust Многодоменный подстановочный знак Comodo PositiveSSL
Цена за 1 год 67,95 $ 89,00 $ 325,00 $ 189,00 $
Цена за 2 года $57,95/год $77,88/год $284,00/год $169,00/год
Цена за 3 года $56,95/год $74,17/год $270,83/год $157,50/год
Цена за 4 года $54,95/год $72,31/год 264,06 $/год $153,56/год
Цена за 5 лет $52,95/год н/д н/д $148,18/год
Защищенные домены Неограниченное количество поддоменов на имени субдомена Неограниченное количество поддоменов на имени субдомена Неограниченное количество поддоменов на имени субдомена До 250 доменов и неограниченное количество субдоменов
Скорость выдачи минут минут 1-3 дня минут
Требуется проверка Проверка домена Проверка домена Проверка бизнеса и домена Проверка домена
Уровень уведомлений в браузерах Имя домена отображается только в сертификате Имя домена отображается только в сертификате Доменное имя и название компании, указанные в сертификате HTTPS в браузере
Стойкость шифрования До 256 бит До 256 бит До 256 бит До 256 бит
Браузер
совместимость
99% 99% 99% Совместимость на 99% с Интернетом и мобильными устройствами
Включает местное уплотнение Комодо
RapidSSL
Геотраст
Комодо
Количество разрешенных бесплатных переизданий Неограниченное количество переизданий Неограниченное количество переизданий БЕСПЛАТНОЕ перевыпуск самообслуживания в течение срока действия Неограниченное количество переизданий
Серверная лицензия Неограниченная серверная лицензия Неограниченная серверная лицензия Неограниченная серверная лицензия Неограниченная серверная лицензия
Варианты поддержки
Гарантия 10 000 долларов 10 000 долларов 1 250 000 долларов США 10 000 долларов
Зеленая адресная строка
Политика возврата 15 дней 15 дней 15 дней 15 дней
 

Часто задаваемые вопросы

1) Как защитить субдомены второго уровня?

Чтобы обезопасить поддомены второго уровня, вам необходимо либо купить подстановочный SSL-сертификат для своего поддомена, либо купить подстановочный знак для нескольких доменов.

Например, если вы хотите защитить admin.blog.xyz.com, вам потребуется подстановочный SSL-сертификат, где blog.xyz.com станет вашим основным доменом, а admin.blog.xyz.com — поддоменом первого уровня. Вы также можете получить тот же эффект с помощью подстановочного знака для нескольких доменов, где вам нужно указать blog.xyz.com как отдельную SAN.

При создании CSR поместите *. (звездочка) перед доменом или субдоменом, субдомены которого необходимо охватить подстановочным сертификатом.

2) Могу ли я защитить .com и .net версии своего веб-сайта с помощью подстановочного сертификата?

Доменные имена с другим расширением (TLD) считаются другим доменным именем. Итак, для доменного имени с другим TLD вам необходимо купить многодоменный SSL-сертификат или SSL-сертификат с несколькими подстановочными знаками.

3) Я просто хочу защитить версию своего домена с www и без www. Нужно ли для этого получать сертификат Wildcard?

Нет, подстановочный знак для ваших поддоменов. Любой SSL-сертификат для одного домена защитит версию вашего доменного имени как с www, так и без www. Например, вам не нужен подстановочный сертификат для защиты доменов domain.com и www.domain.com

4) Могу ли я получить расширенный проверенный подстановочный SSL-сертификат?

Нет. Для SSL-сертификата с подстановочными знаками или нескольких доменов с подстановочными знаками доступны только типы проверки DV и OV.

5) Какой самый дешевый подстановочный SSL-сертификат доступен на рынке?

Самый дешевый подстановочный SSL-сертификат на рынке — это Positive SSL wildcard от Comodo, который стоит 249 долларов в год. Если вы купите подстановочный знак Positive SSL у CheapSSLsecurity, вы можете получить его за 54 доллара в год после щедрой скидки 78%!

6) Подстановочные сертификаты тоже мультисерверные?

Все подстановочные SSL-сертификаты и многодоменные подстановочные SSL-сертификаты являются многосерверными сертификатами. Однако обратите внимание, что для подстановочных знаков Symantec и многодоменных подстановочных знаков Symantec необходимо доплачивать за каждый дополнительный сервер.

7) Можно ли защитить поддомен с помощью многодоменного SSL?

Да, если у вас всего 2-3 поддомена, вы можете получить мультидоменный SSL-сертификат. Здесь вам нужно рассматривать свои поддомены как отдельные SAN. Например, чтобы защитить xyz.com, www.xyz.com, blog.xyz.com и admin.blog.xyz.com, укажите xyz.com в качестве основного домена, а остальные субдомены укажите в качестве отдельных SAN.

8) Как установить групповой сертификат на свой сайт?

Пожалуйста, следуйте этим ссылкам для пошагового объяснения.

Как сгенерировать CSR для группового сертификата?

Как установить групповой сертификат?

Подстановочный SSL-сертификат HostGator: как установить подстановочный SSL-сертификат на HostGator

Как установить подстановочный SSL-сертификат на NGINX

Получите подстановочный сертификат и сэкономьте до 80%

Мы предлагаем подстановочные SSL-сертификаты от лучших брендов SSL который включает Comodo, Sectigo, GeoTrust, RapidSSL, Thawte и Symantec. Вы можете сэкономить до 80% на подстановочных сертификатах.
Покупайте подстановочные SSL-сертификаты всего за $52,95 в год

Нужен ли для каждого субдомена собственный сертификат SSL?

Спросил

Изменено 1 год, 3 месяца назад

Просмотрено 205k раз

Я создаю сервер веб-сокетов, который будет жить на ws.mysite.example . Я хочу, чтобы сервер веб-сокетов был зашифрован SSL, а также domain.example для SSL-шифрования. Нужно ли мне приобретать новый сертификат для каждого создаваемого поддомена? Нужен ли мне выделенный IP-адрес для каждого создаваемого поддомена? Скорее всего, у меня будет более одного поддомена.

Я использую NGINX и Gunicorn, работающие на Ubuntu.

  • ssl
  • ssl-сертификат
  • поддомен

Я отвечу на этот вопрос в два этапа. ..

Вам нужен сертификат SSL для каждого поддомена?

Да и Нет, в зависимости от обстоятельств. Ваш стандартный сертификат SSL будет для одного домена, скажем, www.домен.пример . Существуют различные типы сертификатов, помимо стандартного сертификата для одного домена: подстановочных знаков и сертификатов для нескольких доменов.

  • Подстановочный сертификат будет выдан для чего-то вроде *.domain.example , и клиенты будут рассматривать его как действительный для любого домена, оканчивающегося на domain.example , например www.domain. пример или ws.domain.example .

  • Многодоменный сертификат A действителен для предопределенного списка доменных имен. Для этого используется поле «Альтернативное имя субъекта» сертификата. Например, вы можете сообщить ЦС, что вам нужен многодоменный сертификат для domain. example и ws.mysite.example . Это позволит использовать его для обоих доменных имен.

Если ни один из этих вариантов вам не подходит, вам потребуется два разных сертификата SSL.

Нужен ли мне выделенный IP для каждого поддомена?

Опять же, это и да, и нет… все зависит от вашего веб-сервера/сервера приложений. Я парень Windows, поэтому я отвечу с примерами IIS.

  • Если вы используете IIS7 или более раннюю версию, вы вынуждены привязывать SSL-сертификаты к IP-адресу, и вы не можете назначать несколько сертификатов одному IP-адресу. Это заставляет вас иметь разные IP-адреса для каждого поддомена, если вы используете выделенный сертификат SSL для каждого поддомена. Если вы используете многодоменный сертификат или сертификат с подстановочными знаками, вы можете обойтись одним IP-адресом, поскольку у вас есть только один SSL-сертификат для начала.

  • Если вы используете IIS8 или более позднюю версию, применяется то же самое. Однако IIS8+ включает поддержку так называемого указания имени сервера (SNI). SNI позволяет привязать SSL-сертификат к имени хоста, а не к IP-адресу. Таким образом, имя хоста (имя сервера), которое используется для выполнения запроса, используется для указания того, какой сертификат SSL должен использовать IIS для запроса.

  • Если вы используете один IP-адрес, вы можете настроить веб-сайты для ответа на запросы определенных имен хостов.

Я знаю, что Apache и Tomcat также поддерживают SNI, но я недостаточно знаком с ними, чтобы знать, какие версии его поддерживают.

Bottom Line

Варианты зависят от вашего приложения/веб-сервера и типа сертификатов SSL, которые вы можете получить.

8

Вы можете получить сертификат для каждого субдомена, сертификат нескольких субдоменов или групповой сертификат (для *.yoursite.example ).

Как правило, они стоят немного дороже, чем обычные сертификаты, и, поскольку вы используете один сертификат, они, как правило, не лучший вариант с точки зрения безопасности, если только вы не размещаете приложение типа something. mydomain.example , где они являются единственным рабочим выбором.

Вам также не нужно несколько IP-адресов, если у вас есть веб-сервер с поддержкой SNI. При этом SNI поддерживается только в современных браузерах (IE6 и ниже не будут с ним работать). Последние версии Nginx и Apache прозрачно поддерживают SNI (просто добавьте виртуальные хосты с поддержкой SSL).

3

Я рекомендую «getssl» для создания сертификата SSL для поддомена, размещенного на другом сервере.

 Допустим:
У вас есть основной домен (example.com) с сертификатом SSL на СЕРВЕРЕ A.
У вас есть поддомен (vm1.example.com) без сертификата SSL на СЕРВЕРЕ B.
 

Вы можете использовать «getssl» для создания SSL-сертификата для поддомена, который использует letsencrypt.org

Вам потребуется либо отдельный сертификат для каждого поддомена, либо вы можете приобрести групповой сертификат ( *.domain.example ) — дороже, но имеет смысл, если вы размещаете много субдоменов.