it-swarm.com.de

Benötigt jede Subdomain ein eigenes SSL-Zertifikat?

Ich erstelle einen Websocket-Server, der auf ws.mysite.example Lebt. Ich möchte, dass der Web-Socket-Server sowohl SSL-verschlüsselt als auch domain.example SSL-verschlüsselt ist. Muss ich für jede von mir erstellte Subdomain ein neues Zertifikat erwerben? Benötige ich eine dedizierte IP-Adresse für jede von mir erstellte Subdomain? Ich werde wahrscheinlich mehr als eine Subdomain haben.

Ich benutze NGINX und Gunicorn unter Ubuntu.

47
user974407

Ich werde dies in zwei Schritten beantworten ...

Benötigen Sie ein SSL-Zertifikat für jede Subdomain?

Ja und Nein, es kommt darauf an. Ihr Standard-SSL-Zertifikat gilt für eine einzelne Domain, z. B. www.domain.example. Neben dem Standardzertifikat für einzelne Domänen gibt es verschiedene Arten von Zertifikaten: Wildcard- und Multi-Domain-Zertifikate.

  • Ein Platzhalterzertifikat wird für etwas wie *.domain.example Ausgestellt und Kunden behandeln dies als gültig für jede Domain, die mit domain.example Endet, wie z. B. www.domain.example oder ws.domain.example.

  • Ein Multi-Domain-Zertifikat ist gültig für eine vordefinierte Liste von Domain-Namen. Dies geschieht über das Feld Subject Alternative Name des Zertifikats. Sie können beispielsweise einer Zertifizierungsstelle mitteilen, dass Sie ein Multi-Domain-Zertifikat für domain.example Und ws.mysite.example Wünschen. Dies würde es ermöglichen, es für beide Domainnamen zu verwenden.

Wenn keine dieser Optionen für Sie funktioniert, benötigen Sie zwei verschiedene SSL-Zertifikate.

Benötige ich eine dedizierte IP für jede Subdomain?

Auch dies ist ein Ja und Nein ... alles hängt von Ihrem Web-/Anwendungsserver ab. Ich bin ein Windows-Typ, daher werde ich mit IIS Beispielen) antworten.

  • Wenn Sie IIS7 oder älter ausführen, müssen Sie SSL-Zertifikate an eine IP binden, und einer einzelnen IP können nicht mehrere Zertifikate zugewiesen werden. Dies führt dazu, dass Sie für jede Subdomain eine andere IP benötigen, wenn Sie für jede Subdomain ein dediziertes SSL-Zertifikat verwenden. Wenn Sie ein Multi-Domain-Zertifikat oder ein Wildcard-Zertifikat verwenden, können Sie mit der einzelnen IP davonkommen, da Sie zunächst nur ein SSL-Zertifikat haben.

  • Wenn Sie IIS8 oder höher ausführen, gilt das Gleiche. IIS8 + unterstützt jedoch die sogenannte Server Name Indication (SNI). Mit SNI können Sie ein SSL-Zertifikat an einen Hostnamen und nicht an eine IP-Adresse binden. Der Hostname (Servername), der für die Anforderung verwendet wird, gibt also an, welches SSL-Zertifikat IIS für die Anforderung verwenden soll).

  • Wenn Sie eine einzelne IP-Adresse verwenden, können Sie Websites so konfigurieren, dass sie auf Anforderungen für bestimmte Hostnamen reagieren.

Ich weiß, dass Apache und Tomcat auch SNI unterstützen, aber ich kenne sie nicht genug, um zu wissen, welche Versionen dies unterstützen.

Fazit

Abhängig von Ihrer Anwendung/Ihrem Webserver und der Art der SSL-Zertifikate, die Sie erhalten können, bestimmen Sie Ihre Optionen.

53
pkeenan

Sie können ein Zertifikat für jede Subdomain, ein Zertifikat für mehrere Subdomains oder ein Platzhalterzertifikat (für *.yoursite.example).

Sie kosten jedoch in der Regel einiges mehr als normale Zertifikate. Da Sie ein einzelnes Zertifikat gemeinsam nutzen, sind sie aus Sicherheitsgründen normalerweise nicht die beste Option, es sei denn, Sie hosten ein anything.mydomain.example Art der Anwendung, bei der sie die einzige praktikable Wahl sind.

Sie benötigen auch nicht mehrere IP-Adressen, wenn Sie einen SNI-fähigen Webserver haben. Allerdings wird SNI nur in modernen Browsern unterstützt (IE6 und niedriger funktionieren damit nicht). Neuere Versionen von Nginx und Apache unterstützen SNI transparent (fügen Sie einfach SSL-fähige virtuelle Hosts hinzu).

8
GomoX

Sie benötigen entweder ein separates Zertifikat für jede Subdomain oder Sie können ein Wildcard-Zertifikat erwerben (*.domain.example) - teurer, aber sinnvoll, wenn Sie viele Subdomains hosten.

In Bezug auf IPs hängt es davon ab, wie Sie Ihren Server einrichten. Sie können Hostnamenregeln verwenden, um mehrere Sites von derselben IP-Adresse aus zu bedienen, oder für jede Site eindeutige IP-Adressen verwenden. Beide Methoden haben Vor- und Nachteile.

0
Jim G.