Итак, наша компания хочет разделить наши облачные серверы на отдельные среды, например www.example.com, test.example.com и dev.example.com. [Мы можем даже захотеть разбить наши поддомены на другие поддомены.] Мой босс хочет знать, сколько сертификатов (для SSL) понадобится фирме.
Я покопался в поддоменах и, похоже, вопрос о DNS RR (записи ресурсов сервера доменных имен). Я видел заметки о записях A и CNAME и о том, как они взаимодействуют. Я думаю, что смеси записей A и CNAME должно хватить для разделения нашего пространства имен.
Но что насчет сертификатов, нужен ли нам сертификат SSL для каждой записи A? Мой босс стремится снизить стоимость (как и все боссы).
Для каждой идентичности, которую примет один из ваших серверов (то есть для каждого имени, которое сервер будет идентифицировать как), вам понадобится сертификат, соответствующий этой идентичности. Идентификатор не обязательно совпадает с записью DNS, но в тех случаях, когда это происходит (например, веб-серверы), не имеет значения, являются ли записи записями CNAME или A (или даже AAAA).
Чтобы все было немного сложнее понять, вам не обязательно нужны разные сертификаты для каждой личности. Один сертификат может удостоверять множество удостоверений (одну основную и несколько альтернативных), а также существуют так называемые сертификаты с подстановочными знаками, которые можно использовать для любого поддомена данного домена (например, если у вас есть сертификат с подстановочными знаками для * .example.com , вы можете использовать его для www.example.com и somethingyouwant.example.com без необходимости явно указывать любое из этих двух имен в сертификате). Однако подстановочные сертификаты дороже обычных. В то время как обычные сертификаты обычно стоят пару десятков долларов, сертификат с подстановочными знаками обычно стоит сотни. Обратите внимание, что есть некоторые центры сертификации, которые бесплатно выдадут вам обычные сертификаты с определенными ограничениями (например, базовый сертификат StartCom. StartSSL сертификаты бесплатны, но могут содержать только два имени, одно из которых должно быть корневым доменом).
В вашем примере у вас есть 3 удостоверения (это www.foo.com, test.foo.com и dev.foo.com). А пока я рекомендую вам получить 3 бесплатных сертификата. Если вы когда-нибудь дойдете до точки, когда вам понадобится 20-30 различных сертификатов, вам следует подумать о покупке подстановочного сертификата, поскольку затраты (рабочих часов) на необходимость обновления 20-30 истекающих сертификатов вручную каждый год будут выше, чем это сертификата с подстановочным знаком.