Назад | Перейти на главную страницу

Могу ли я использовать один (без подстановочных знаков) сертификат SSL на нескольких именах хоста одного домена?

Если бы у меня был test.example.com и prod.example.com (два имени хоста, но одно и то же доменное имя) могу ли я использовать один и тот же сертификат SSL на обеих машинах?

В прошлом, когда я пытался использовать prod.example.com сертификат на test.example.com это привело к появлению предупреждений браузера о несоответствии хоста, что привело меня к мысли, что мне нужен подстановочный знак (или несколько отдельных сертификатов). (Возможно, моя ошибка заключалась в создании CSR для prod.example.com а не просто example.com ?)

Но на сайтах различных поставщиков SSL упоминается необходимость сертификата с подстановочными знаками для поддомены, что совсем не то, что я использую.

Их язык просто неправильный? (Моя циничная сторона задается вопросом, помогает ли это продавцам продавать более дорогие сертификаты ...)

Вам понадобится сертификат, поддерживающий поле Subject Alternate Name, и у вас должен быть test.example.com, чтобы он работал в описанном вами примере.

Сертификат на example.com не будет волшебным образом работать для *.example.com как вы описываете, если только это не шаблонный сертификат, который вы прямо указываете, что у вас его нет. Поле SAN, в котором перечислены все поддомены, - это то, что вам нужно, если вы не собираетесь получать подстановочный знак.

Их язык просто неправильный?

Нет, твоя.

Если бы у меня был test.example.com и prod.example.com (два имени хоста, но одно и то же доменное имя)

Эти не такое же доменное имя. Они оба отдельный доменные имена, которые оказались поддомены из example.com.

Доменное имя любой имя, которое существует на любом уровне DNS, а не только то, которое вы получаете от регистратора домена.

Сертификат SSL может охватывать только:

  1. Точное доменное имя
  2. То же, что и выше, но с дополнительными «Альтернативными именами субъектов», или
  3. каждый поддомен, то есть сертификат с подстановочным знаком.

Следовательно, вы не можете просто получить сертификат на example.com и он также автоматически охватывает поддомены.

Сначала пояснение: в том, как вы используете, нет субдоменов - только домены. Или лучше вы можете сказать, что любой домен, которым вы будете владеть, является субдоменом. Корневой домен - «.». Домен верхнего уровня "com." является «субдоменом» из «.». example.com. является субдоменом "com." ... Субдомен - это домен, определенный внутри другого домена. но это относительный, а не абсолютный атрибут.

Сертификаты wild card более обширны не потому, что они отличаются от доменных сертификатов, а из-за их уязвимости и шансов быть взломанными. Вы платите SSL CA не «цену» за сертификат, а ограниченную страховку. Эта страховка покрывает, только если нарушение вызвано неправильным обращением с вашим сертификатом и его цепочкой со стороны CA.

Если у вас всего несколько поддоменов, дешевле купить сертификат для нескольких доменов (сертификаты, использующие альтернативное имя субъекта). Если у вас много поддоменов домена или вы планируете добавить неизвестное количество поддоменов, вам лучше купить подстановочный сертификат. Если у вас разные домены (example1.com, example2.com, example1.us), вы можете использовать только сертификаты SAN или купить подстановочный сертификат для каждого домена. (Например, вы не можете купить подстановочный сертификат для * .com).

Использование сертификата SAN или подстановочного сертификата может снизить безопасность вашей конфигурации, поскольку заставит вас использовать один и тот же прослушиватель и, скорее всего, использовать одного и того же пользователя (вы можете работать с разными пользователями с чем-то вроде mod_suexec для apache). Таким образом, если один сайт будет взломан, это может привести к компрометации других сайтов. Если у вас разные сертификаты, вы можете запускать эти приложения от имени разных пользователей и иметь лучшую безопасность.