Если бы у меня был test.example.com
и prod.example.com
(два имени хоста, но одно и то же доменное имя) могу ли я использовать один и тот же сертификат SSL на обеих машинах?
В прошлом, когда я пытался использовать prod.example.com
сертификат на test.example.com
это привело к появлению предупреждений браузера о несоответствии хоста, что привело меня к мысли, что мне нужен подстановочный знак (или несколько отдельных сертификатов). (Возможно, моя ошибка заключалась в создании CSR для prod.example.com
а не просто example.com
?)
Но на сайтах различных поставщиков SSL упоминается необходимость сертификата с подстановочными знаками для поддомены, что совсем не то, что я использую.
Их язык просто неправильный? (Моя циничная сторона задается вопросом, помогает ли это продавцам продавать более дорогие сертификаты ...)
Вам понадобится сертификат, поддерживающий поле Subject Alternate Name, и у вас должен быть test.example.com, чтобы он работал в описанном вами примере.
Сертификат на example.com
не будет волшебным образом работать для *.example.com
как вы описываете, если только это не шаблонный сертификат, который вы прямо указываете, что у вас его нет. Поле SAN, в котором перечислены все поддомены, - это то, что вам нужно, если вы не собираетесь получать подстановочный знак.
Их язык просто неправильный?
Нет, твоя.
Если бы у меня был
test.example.com
иprod.example.com
(два имени хоста, но одно и то же доменное имя)
Эти не такое же доменное имя. Они оба отдельный доменные имена, которые оказались поддомены из example.com
.
Доменное имя любой имя, которое существует на любом уровне DNS, а не только то, которое вы получаете от регистратора домена.
Сертификат SSL может охватывать только:
Следовательно, вы не можете просто получить сертификат на example.com
и он также автоматически охватывает поддомены.
Сначала пояснение: в том, как вы используете, нет субдоменов - только домены. Или лучше вы можете сказать, что любой домен, которым вы будете владеть, является субдоменом. Корневой домен - «.». Домен верхнего уровня "com." является «субдоменом» из «.». example.com. является субдоменом "com." ... Субдомен - это домен, определенный внутри другого домена. но это относительный, а не абсолютный атрибут.
Сертификаты wild card более обширны не потому, что они отличаются от доменных сертификатов, а из-за их уязвимости и шансов быть взломанными. Вы платите SSL CA не «цену» за сертификат, а ограниченную страховку. Эта страховка покрывает, только если нарушение вызвано неправильным обращением с вашим сертификатом и его цепочкой со стороны CA.
Если у вас всего несколько поддоменов, дешевле купить сертификат для нескольких доменов (сертификаты, использующие альтернативное имя субъекта). Если у вас много поддоменов домена или вы планируете добавить неизвестное количество поддоменов, вам лучше купить подстановочный сертификат. Если у вас разные домены (example1.com, example2.com, example1.us), вы можете использовать только сертификаты SAN или купить подстановочный сертификат для каждого домена. (Например, вы не можете купить подстановочный сертификат для * .com).
Использование сертификата SAN или подстановочного сертификата может снизить безопасность вашей конфигурации, поскольку заставит вас использовать один и тот же прослушиватель и, скорее всего, использовать одного и того же пользователя (вы можете работать с разными пользователями с чем-то вроде mod_suexec для apache). Таким образом, если один сайт будет взломан, это может привести к компрометации других сайтов. Если у вас разные сертификаты, вы можете запускать эти приложения от имени разных пользователей и иметь лучшую безопасность.