Можно ли использовать SSL сертификат основного домена для поддоменов на стороннем сервере? — Хабр Q&A

1. Только, если это оговорено заранее. Такие сертификаты называются wildcard. Но следует иметь в виду, что wildcard-сертификат не распространяется на корневой домен. То есть сертификат, выданный на *.server.net, для самого server.net — не подойдет.
2. Если сертификат физически на другом сервере — нет.
3. Если каждый поддомен на отдельном сервере — нужно получать по сертификату на каждый поддомен
4. Очень сильно зависит от того, сертификат с какой проверкой запросите. Если с минимальной — там хоть кто может его получить. Если с подтверждением — то такой сертификат лучше получать самому заказчику.

Ответ написан

Комментировать

1. Нет, если сертификат не Wildcard;
2. На другом сервере потребуется установка сертификата;

3. Сертификат должен защищать желаемый поддомен явно или быть wildcard-сертификатом;
4. Получить сертификат dv-типа можно не будучи правообладателем, если есть доступ к управлению доменом или поддоменом, для этого достаточно разместить на хостинге проверочный файл, сформированный удостоверяющим центром.

Ответ написан

Комментировать

1. нет. обычно сертификаты выдаются только на один домен (иногда выдают на домен и www.домен)

2. нет, смотри пункт 1. нужно делать отдельные сертификаты. перенести публичный и закрытый ключ на другой сервер не проблема, главное чтобы сертификаты были выпущены для этого домена/поддомена, где они расположены не играет никакой роли.
3. нужно сначала определиться какие нужны сертификаты. если хватит и бесплатно, то смотрите в сторону https://letsencrypt.org/ например.
4. сможете, вы же контактируете с правообладателями в любом случае =)

Ответ написан

более трёх лет назад

Ульрих всё более или менее верно написал.
Но есть ряд уточнений:
по п.3 — Let’s encrypt позволяет добавлять и удалять домены из сертификата после его выдачи;
по п.4 — обычный сертификат на требует сложных проверок и вам будет достаточно лишь удостоверить ваше управление веб-сервером, где размещается сайт под именем домена your.domain, для которого запрашивается сертификат, либо иметь доступ к почтовой запиcи [email protected] (hostmaster, webmaster).

Ответ написан

2016, в 14:20″> более трёх лет назад

Комментировать

1. Зависит от типа сертификата на основном домене.
а) Если это типовой Comodo PositiveSSL или аналоги -нет, не будет. Т.к. они рассчитаны на защиту одного домена любого вида.
б) Если это WildCard — защищен будет основной домен и поддомен на 1 уровень «вглубь»(если так можно выразиться). Например:
Основной домен: ромашка.ру,
Поддомены: моя.ромашка.ру, твоя.ромашка.ру и т.д.

Основной домен: моя.ромашка.ру

Поддомены: почта.моя.ромашка.ру, база.моя.ромашка.ру и т.д.

в) Если это Multidomain сертификат, то будут защищены все необходимые домены и поддомены, единственное, что каждый поддомен придется указывать как самостоятельный домен. Это будет затратно и не выгодно. Т.к. в стоимость сертификата обычно входит только 2 или 3 защищаемых домена, за каждый дополнительный придется доплачивать.

Уточнение: RapidSSL Wildcard будет работать только в случае если основной домен вида: ромашка.ру. К остальным поставщикам сертификатов это не относится.

2. Будет работать Wildcard. Необходимо будет установить его на все серверы, где расположены домен и поддомены.

3. При формирования заказа на сертификат, если типовой сертификат Comodo PositiveSSL, то просто заказывать на домен и каждый поддомен отдельный сертификат. Если Wildcard, то при формирования заказа указать домен и все поддомены.
4. Заказ на сертификат можете сделать и вы, если вы будете являться контактным лицом и у вас есть доступ к необходимым почтовым ящикам и информации о компании. Владельцем сертификата в любом случае будет клиент.

Ответ написан

Комментировать

Here is my feedback:

  1. If you have taken Wildcard SSL certiifcate or Multi domain SSL certiifcate then you can enable that SSL certificate only to sub domains of the main domain.
  2. If that Wildcard SSL certificate has feature of unlimited server license then yes sub domains are located on another server can also be secured.
  3. You will have to just copy private key to each server.
  4. Either you can directly order the ssl certificate or you give advice to client to purchase it.

Ответ написан

Комментировать

SSL сертификат для домена и поддоменов? — Хабр Q&A

Я бы тоже присоединился к советующим. Если поддоменов немного, то, возможно, есть смысл купить отдельный SSL сертификат для каждого из них. Порой это обходится дешевле, чем покупать SSL сертификат WildCard.

Есть еще второй момент, подойдет ли вам сертификат 1. только с проверкой доменов или 2.

посетителем неплохо было бы видеть подтверждение наименования вашей организации в информации SSL сертификата (вторые предполагают более основательную проверку и стоят дороже).

Провел свел мини-ценовой анализ, вот такая ситуация на текущий момент:
а) ISPsystem – от 18 707 руб/год
б) firstSSL — от 14 300 руб/год
д) sslcertificate.ru – от 15 000 руб/г

Есть еще такой сайт GoGetSSL с весьма привлекательными ценами, но он подойдет далеко не всем. Компания зарегистрирована в Латвии, в связи с чем оплата от юридического лица не представляется доступной.

Ответ написан

более трёх лет назад

Комментировать

такой сертификат называется WildCard который сразу на *.site.ru
Нам требовалось с документами, поэтому покупали у ВебНамез. ру
Сами посчитайте, что вам выгоднее, 3 недорогих сертификата на site.ru, shop.site.ru, money.site.ru или один но на *.site.ru

Ответ написан

более трёх лет назад

все зависит от конечного числа твоих поддоменов.
если их до 10, то выгоднее приобрести comodo ucc dv сертификат.
интересен тем, что может включать до 210 имен.
там идет базовая стоимость за 3 имени и далее за каждое
брали для exchange здесь instantssl.su
причем добавлять имена можно, добавляли через 3 месяца

Ответ написан

Комментировать

Оптимально купить wildcard сертификат здесь

https://www. rapidsslonline.com/

Ответ написан

Устанавливаешь сертификат
apt-get install python3-certbot-apache
Если для nginx
apt install python3-certbot-nginx
Регистрируешь его и подключаешь пример в nginx.
certbot --nginx -d domain.com -d www.domain.com
Поддомены

 
certbot --nginx -d poddomen.domain.com -d www.poddomen.domain.com

Более детально Здесь Сайт по SSL Apache, Nginx Ubuntu
А на хостингах с панелью ISP так же бесплатно получаешь сертификат Let’s Encrypt.

Ответ написан

Комментировать

Приведенные в ответах цены и ресурсы уже вряд ли актуальны. Неплохие предложения по wildcard сертификатам. Если поддоменов не много (до 4-5) — выгоднее приобрести мультидоменный сертификат.

Ответ написан

Комментировать

SSL-сертификат

для субдомена — как мне получить его для моего веб-сайта?

SSL/TLS — это безопасный протокол, который устанавливает зашифрованный канал связи между веб-браузером и веб-сервером. Это снижает риск раскрытия или кражи конфиденциальной информации похитителями личных данных или хакерами.

Сертификат SSL/TLS, установленный на сервере, служит двойной цели: обеспечивает безопасный канал для связи, а также идентифицирует личность веб-сайта.

Несколько крупных игроков на этом рынке предлагают различные типы цифровых сертификатов. Мы рассмотрим два из них, а именно подстановочные и многодоменные подстановочные SSL-сертификаты, которые используются для защиты поддоменов.

Что такое субдомен?

Так как название немного напоминает спойлер, вы, вероятно, иметь представление о том, что такое субдомен. Но ради охвата всех основания, рассмотрим пример.

Тодд и Боб — два деловых партнера, которые решили построить веб-сайт местного фруктового магазина. Наш друг Тодд регистрирует домен www.fruitshop.com, где он пишет все о том, кто они, где они находятся и т. д. Однажды Боб вмешивается и предлагает им создать отдельные URL-адреса для своих страниц продуктов и страница блога, чтобы помочь организовать веб-сайт. Он предлагает:

  • products.fruitshop.com и
  • blog.fruitshop.com.

В соответствии с иерархией DNS, переход справа на оставленный в веб-адресе products.fruitshop.com:

  • «.com» — домен верхнего уровня,
  • fruithop.com — домен второго уровня или корневой домен,
  • и products.fruitshop.com — поддомен (или домен третьего уровня).

Поддомен или дочерний домен — это раздел корня домен или родительский домен, созданный для удобства навигации.

Нужен ли вам SSL для субдомена

Если вы спрашиваете, нужен ли вам SSL для субдомена, ответ положительный. SSL-сертификат подтверждает вашу личность и устанавливает безопасный канал связи между клиентом и веб-сайтом. Если у вас нет SSL для вашего поддомена, это создаст возможность для злоумышленников перехватить разговор через поддомен. Таким образом, защита каждого поддомена является обязательной. Но хорошая новость заключается в том, что вам не нужно покупать отдельные SSL-сертификаты для всех ваших зарегистрированных субдоменов. Один подстановочный сертификат может защитить ваш основной домен и все ваши поддомены первого уровня.

Защита моих субдоменов с помощью одного SSL-сертификата

Итак, теперь, когда у нас есть представление о том, что такое SSL-сертификат и как он связан с субдоменами, давайте рассмотрим, как они вступают в игру при защите субдоменов.

Прежде всего, важно отметить, что SSL-сертификат для одного домена (или стандартный SSL-сертификат) будет охватывать только один домен. При создании с помощью WWW большинство центров сертификации (Cas) бесплатно защищают не-WWW-версию, но это все. Для крупных компаний с несколькими доменами и поддоменами это невыполнимое решение, поскольку управлять несколькими сертификатами становится сложно, и это нерентабельно. Как подстановочные, так и многодоменные подстановочные SSL-сертификаты, которые мы обсудим ниже, помогают защитить несколько поддоменов с помощью одного сертификата.

Подстановочный SSL-сертификат

Подстановочный SSL-сертификат используется, если у вас есть несколько поддоменов, которые необходимо защитить на одном уровне. Выдается единый сертификат для шифрования вашего домена вместе с неограниченным количеством субдоменов.

Например, у Боба из нашего предыдущего примера есть другой веб-сайт www.site.com со 100 субдоменами:

  • subdomain1.site.com,
  • subdomain2.site.com,
  • subdomain3.site.com и т. д. .

Мало того, что индивидуальная защита этих URL-адресов будет дорогостоящей, но управлять ими может быть проблематично.

Вместо этого, используя подстановочный знак SSL, *.site.com будет автоматически защитите все 100 субдоменов за один раз, используя один сертификат. Обратите внимание, что звездочка используется для указания уровня защищаемого поддомена. В В этом случае *.site.com защитит все на третьем уровне, но URL blog.subdomain1.site.com (субдомен четвертого уровня) не будет зашифрован.

Подстановочные SSL-сертификаты доступны для двух уровней проверка – проверка домена (DV) и организация валидация (ОВ).

Защитите неограниченное количество поддоменов с одним подстановочным SSL-сертификатом — сэкономьте 50%

Сэкономьте 50% на сертификатах Sectigo Wildcard SSL. Он включает неограниченные серверные лицензии, перевыпуск, 256-битное шифрование и многое другое.

Приобретите Wildcard SSL и сэкономьте 50%

Многодоменный Wildcard SSL-сертификат

домены и поддомены, которые необходимо защитить? Ответ, в данном случае, состоит в том, чтобы использовать цифровой сертификат, называемый мультидоменным подстановочный SSL. Один сертификат выдается для шифрования до 250 доменов вместе со своими поддоменами на нескольких уровнях.

Например, рассмотрим Боба из нашего предыдущего примера. В помимо сотни поддоменов, у него есть еще один веб-сайт, www.example.com, с 10 поддоменов —

  • subdomain1.example.com,
  • subdomain2.example.com,
  • subdomain3.example.com и так далее.

Кроме того, у него есть еще два домена — www.example2.net и www.example3.org — которые, в свою очередь, имеют многоуровневые поддомены —

  • subdomain1.example2.net,
  • subdomain2.example2 .нет,
  • blog.subdomain1.example2.net,
  • products.subdomain1.example2.net и так далее.

Чтобы защитить их, он может перечислить *.example.com, *.example2.net, *.subdomain1.example2.net в качестве альтернативных имен субъектов или SAN на сертификат. Точно так же можно перечислить SAN для веб-сайта www.example3.org. в сертификате в соответствии с требованиями.

SSL-сертификаты с подстановочными знаками для нескольких доменов доступны для двух уровней проверки — DV и OV.

Защитите до 250 нескольких доменов с помощью одного многодоменного SSL — сэкономьте 50%

Сэкономьте 50% на мультидоменных SSL-сертификатах Sectigo. Он включает неограниченные серверные лицензии, перевыпуск, 256-битное шифрование и многое другое.

Приобретите многодоменный SSL и сэкономьте 50%

Вкратце

Выбор между групповым SSL и мультидоменным подстановочным знаком SSL-сертификат — это просто. Если наряду с поддоменами вам нужен сертификат, который охватывает несколько полных доменных имен (FQDN), выберите многодоменный подстановочный сертификат. Если нет, то для защиты основного домена и его поддоменов, подстановочный SSL-сертификат был бы идеальным решением.

Нужен ли для каждого поддомена собственный SSL-сертификат?

спросил

Изменено 2 месяца назад

Просмотрено 220 тысяч раз

Я создаю сервер веб-сокетов, который будет жить на ws. mysite.example . Я хочу, чтобы сервер веб-сокетов был зашифрован SSL, а также domain.example для SSL-шифрования. Нужно ли мне приобретать новый сертификат для каждого создаваемого поддомена? Нужен ли мне выделенный IP-адрес для каждого создаваемого субдомена? Скорее всего, у меня будет более одного поддомена.

Я использую NGINX и Gunicorn, работающие на Ubuntu.

  • ssl
  • ssl-сертификат
  • поддомен

Я отвечу на этот вопрос в два этапа…

Вам нужен сертификат SSL для каждого поддомена?

Да и Нет, в зависимости от обстоятельств. Ваш стандартный сертификат SSL будет для одного домена, скажем, www.домен.пример . Существуют различные типы сертификатов, помимо стандартного сертификата для одного домена: подстановочных знаков и сертификатов для нескольких доменов.

  • Подстановочный сертификат будет выдан для чего-то вроде *. domain.example , и клиенты будут рассматривать его как действительный для любого домена, оканчивающегося на domain.example , например www.domain. пример или ws.domain.example .

  • Многодоменный сертификат A действителен для предопределенного списка доменных имен. Для этого используется поле «Альтернативное имя субъекта» сертификата. Например, вы можете сообщить центру сертификации, что вам нужен многодоменный сертификат для domain.example и ws.mysite.example . Это позволит использовать его для обоих доменных имен.

Если ни один из этих вариантов вам не подходит, вам потребуется два разных сертификата SSL.

Нужен ли мне выделенный IP для каждого поддомена?

Опять же, это и да, и нет… все зависит от вашего веб-сервера/сервера приложений. Я парень Windows, поэтому я отвечу с примерами IIS.

  • Если вы используете IIS7 или более раннюю версию, вы вынуждены привязывать SSL-сертификаты к IP-адресу, и вы не можете назначать несколько сертификатов одному IP-адресу. Это заставляет вас иметь разные IP-адреса для каждого поддомена, если вы используете выделенный сертификат SSL для каждого поддомена. Если вы используете многодоменный сертификат или сертификат с подстановочными знаками, вы можете обойтись одним IP-адресом, поскольку у вас есть только один SSL-сертификат для начала.

  • Если вы используете IIS8 или более позднюю версию, применяется то же самое. Однако IIS8+ включает поддержку так называемого указания имени сервера (SNI). SNI позволяет привязать SSL-сертификат к имени хоста, а не к IP-адресу. Таким образом, имя хоста (имя сервера), которое используется для выполнения запроса, используется для указания того, какой сертификат SSL должен использовать IIS для запроса.

  • Если вы используете один IP-адрес, вы можете настроить веб-сайты для ответа на запросы определенных имен хостов.

Я знаю, что Apache и Tomcat также поддерживают SNI, но я недостаточно знаком с ними, чтобы знать, какие версии его поддерживают.

Bottom Line

Варианты зависят от вашего приложения/веб-сервера и типа сертификатов SSL, которые вы можете получить.

8

Вы можете получить сертификат для каждого субдомена, сертификат нескольких субдоменов или групповой сертификат (для *.yoursite.example ).

Как правило, они стоят немного дороже, чем обычные сертификаты, и, поскольку вы используете один сертификат, они, как правило, не лучший вариант с точки зрения безопасности, если только вы не размещаете приложение типа something.mydomain.example , где они являются единственным рабочим выбором.

Вам также не нужно несколько IP-адресов, если у вас есть веб-сервер с поддержкой SNI. При этом SNI поддерживается только в современных браузерах (IE6 и ниже не будут с ним работать). Последние версии Nginx и Apache прозрачно поддерживают SNI (просто добавьте виртуальные хосты с поддержкой SSL).

No related posts.