Назад | Перейти на главную страницу

Нужны ли мне индивидуальные сертификаты SSL для каждого домена, указывающего на один и тот же IP-адрес VPS?

Проведя небольшое исследование, я не нашел однозначного ответа на свой вопрос.

В настоящее время я размещаю клиентов на VPS с двумя IP-адресами:

XXX.XX.XXX.XX1
XXX.XX.XXX.XX2

Когда я приобрел этот VPS, мне сказали, что второй IP-адрес будет использоваться для размещения моего сертификата (ов) SSL.

Мне интересно, если все домены указывают на один и тот же IP-адрес, мне понадобится только один SSL-сертификат, покрывающий IP? Или мне нужны индивидуальные SSL-сертификаты для каждого уникального домена?

Сертификаты SSL проверяют домен или имя хоста, а не IP-адрес. Однако большинство веб-серверов и браузеров теперь поддерживают указание имени сервера (SNI) и альтернативное имя субъекта (SAN), что означает, что вам не нужен второй IP-адрес. В этом случае вам больше не нужно покупать сертификаты. LetsEncrypt Certbot бесплатно предоставляет сертификаты проверки домена для нескольких доменов.

Если ваш сервер не поддерживает SNI или вас беспокоят браузеры, которые этого не делают, вам понадобится сертификат для каждого домена, и вам понадобится IP-адрес для каждого домена.

До SNI, когда клиент устанавливал https-соединение, сервер должен был принять его и расшифровать, прежде чем он узнал, что http-хост, к которому клиент хотел подключиться. В этом случае, если сервер обслуживает несколько http-хостов на одном IP-адресе, сервер всегда будет предполагать, что клиент хочет подключиться к первому упорядоченному хосту в конфигурации. Если сертификат, предоставленный в ответ, не соответствует хосту, запрошенному клиентом, браузер выдаст ошибку. Следовательно, вам приходилось запускать разные домены на разных IP-адресах.

Если SNI включен, сервер представляет все доступные сертификаты клиентскому запросу, и клиент может сопоставить свой запрос хоста с правильным сертификатом, если он существует, что означает, что ошибка браузера генерируется только в том случае, если ни один из сертификатов не соответствует.

Это позволяет размещать несколько хостов https на одном IP-адресе. Однако вам по-прежнему понадобится сертификат https для каждого домена (бесплатный или коммерческий).

Сертификат SSL предназначен для домена, а не для IP.

У вас может быть 1000 IP, но когда у вас есть сертификат для домена myextradomain.com, вы можете разместить этот сайт на 1000 IP с сертификатом SSL :).

Если у вас много поддоменов в примере:

  • subdomain.myextradomain.com
  • subdomain2.myextradomain.com
  • subdomain3.myextradomain.com

Вы можете купить подстановочный сертификат, а затем использовать этот сертификат на всех поддоменах.