Tôi đang tạo một máy chủ websocket sẽ sống ws.mysite.example. Tôi muốn máy chủ ổ cắm web được mã hóa SSL cũng như domain.exampleđược mã hóa SSL. Tôi có cần mua chứng chỉ mới cho mỗi tên miền phụ tôi tạo không? Tôi có cần một địa chỉ IP dành riêng cho mỗi tên miền phụ tôi tạo không? Tôi có thể sẽ có nhiều hơn một tên miền phụ.
Tôi đang sử dụng NGINX và Gunicorn chạy trên Ubuntu.
Câu trả lời:
Tôi sẽ trả lời điều này theo hai bước ...
Bạn có cần chứng chỉ SSL cho mỗi tên miền con không?
Có và Không, nó phụ thuộc. Chứng chỉ SSL tiêu chuẩn của bạn sẽ dành cho một tên miền, nói www.domain.example. Có nhiều loại certs khác nhau mà bạn có thể sử dụng ngoài chứng chỉ tên miền đơn tiêu chuẩn: ký tự đại diện và certs đa miền.
Một chứng chỉ thẻ hoang dã sẽ được cấp cho một cái gì đó giống như *.domain.examplevà khách hàng sẽ coi điều này là hợp lệ cho bất kỳ tên miền nào kết thúc bằng domain.example, chẳng hạn như www.domain.examplehoặc ws.domain.example.
Một cert miền đa có giá trị trong một danh sách được xác định trước của tên miền. Nó thực hiện điều này bằng cách sử dụng trường Tên thay thế chủ đề của chứng chỉ. Ví dụ: bạn có thể nói với CA rằng bạn muốn có chứng chỉ đa miền cho domain.examplevà ws.mysite.example. Điều này sẽ cho phép nó được sử dụng cho cả hai tên miền.
Nếu cả hai tùy chọn này không phù hợp với bạn, thì bạn sẽ cần phải có hai loại SSL khác nhau.
Tôi có cần một IP chuyên dụng cho mỗi tên miền con không?
Một lần nữa, đây là có và không ... tất cả phụ thuộc vào máy chủ ứng dụng / web của bạn. Tôi là một người Windows, vì vậy tôi sẽ trả lời với các ví dụ IIS.
Nếu bạn đang chạy IIS7 trở lên, thì bạn buộc phải liên kết các SSL SSL với một IP và bạn không thể có nhiều certs được gán cho một IP. Điều này khiến bạn cần phải có một IP khác nhau cho mỗi tên miền phụ nếu bạn đang sử dụng chứng chỉ SSL chuyên dụng cho mỗi tên miền phụ. Nếu bạn đang sử dụng chứng chỉ đa miền hoặc chứng chỉ ký tự đại diện, thì bạn có thể thoát khỏi một IP duy nhất vì bạn chỉ có một chứng chỉ SSL để bắt đầu.
Nếu bạn đang chạy IIS8 trở lên, thì áp dụng tương tự. Tuy nhiên, IIS8 + bao gồm hỗ trợ cho một thứ gọi là Chỉ định Tên Máy chủ (SNI). SNI cho phép bạn liên kết chứng chỉ SSL với tên máy chủ, không phải IP. Vì vậy, tên máy chủ (Tên máy chủ) được sử dụng để thực hiện yêu cầu được sử dụng để cho biết chứng chỉ SSL nào mà IIS nên sử dụng cho yêu cầu.
Nếu bạn sử dụng một IP duy nhất, thì bạn có thể định cấu hình trang web để đáp ứng yêu cầu cho tên máy chủ cụ thể.
Tôi biết rằng Apache và Tomcat cũng có hỗ trợ cho SNI, nhưng tôi không đủ quen thuộc để biết phiên bản nào hỗ trợ nó.
Dòng dưới cùng
Tùy thuộc vào ứng dụng / máy chủ web của bạn và loại certs SSL nào bạn có thể nhận được sẽ ra lệnh cho các tùy chọn của bạn.
abc.def.domain.com, đó có phải là trường hợp không?
Bạn có thể nhận chứng chỉ cho mỗi tên miền phụ, chứng chỉ nhiều tên miền phụ hoặc chứng chỉ ký tự đại diện (cho *.yoursite.example).
Chúng thường có giá cao hơn một chút so với chứng chỉ thông thường và vì bạn chia sẻ một chứng chỉ duy nhất nên chúng thường không phải là lựa chọn tốt nhất theo quan điểm bảo mật trừ khi bạn lưu trữ một anything.mydomain.exampleloại ứng dụng mà chúng là lựa chọn khả thi duy nhất.
Bạn cũng không cần nhiều địa chỉ IP nếu bạn có máy chủ web có khả năng SNI . Điều này cho biết, SNI chỉ được hỗ trợ trong các trình duyệt hiện đại (IE6 trở xuống sẽ không hoạt động với nó). Các phiên bản gần đây của Nginx và Apache hỗ trợ SNI trong suốt (chỉ cần thêm máy chủ ảo hỗ trợ SSL).
Bạn sẽ cần một chứng chỉ riêng cho mỗi tên miền phụ hoặc bạn có thể mua chứng chỉ ký tự đại diện ( *.domain.example) - đắt hơn, nhưng sẽ hợp lý nếu bạn lưu trữ nhiều tên miền phụ.
Về IP, nó phụ thuộc vào cách bạn thiết lập máy chủ của mình. Bạn có thể sử dụng quy tắc tên máy chủ để phục vụ nhiều trang web từ cùng một IP hoặc sử dụng IP duy nhất cho mỗi trang. Có những ưu và nhược điểm cho cả hai phương pháp.