Назад | Перейти на главную страницу

Какие сертификаты SSL мне нужны для 2 IP-адресов и 5 поддоменов одного домена?

У меня есть домен (my.com), содержащий 5 поддоменов (www.my.com, app1.my.com, app2.my.com, app3.my.com, app4.my.com).

4 приложения размещены на сервере Windows / Apache 2.4 с одним IP-адресом и виртуальными хостами, а www.my.com размещается на втором сервере с отдельным IP-адресом и в будущем может перейти на управляемый хостинг.

Я должен защитить все указанные выше поддомены с помощью SSL-сертификатов от Geotrust.

Мне нужно:

  1. Выберите подходящий тип сертификатов, которые могут работать в указанной выше конфигурации (5 поддоменов на 2 серверах)

  2. Сведите к минимуму количество требуемых сертификатов (по причинам стоимости и обслуживания)

  3. Поддерживать приемлемый уровень безопасности

Итак, сколько сертификатов мне следует заказать и какого типа?

Один сертификат может охватывать несколько имен хостов с помощью Альтернативное имя субъекта (SAN) расширение. Это часто используется для покрытия обоих www.example.com и example.com, но может использоваться для охвата большего количества имен хостов.

В вашем случае вам понадобится 6 имен (при условии, что вы также хотите использовать my.com.) Поставщики SSL часто называют такие сертификаты Сертификаты SAN.

Некоторые центры сертификации позволяют генерировать сертификат для нескольких серверов, однако ничто не мешает вам использовать один и тот же сертификат на обоих серверах.

Вы можете посмотреть Давайте зашифровать, который является центром сертификации, который выдает бесплатные сертификаты.

Когда вы все еще покупаете сертификаты (и решаете не использовать Let's Encrypt), вообще говоря, у вас есть три варианта:

  1. Получить уникальный сертификат для каждого URL ты используешь.
    • Профи : сертификаты с одним URL дешевле, чем сертификаты SAN (хотя Сертификат SAN с 20 именами хоста может быть дешевле, чем 20 индивидуальных сертификатов)
    • URL-адреса можно легко добавить, переместить на другие серверы или удалить
    • Conns: больше администрирования для продления, но относительно просто.
    • Когда несколько URL-адресов размещены на сервере с одним IP-адресом, все клиенты должны поддерживать SNI
  2. Получить уникальный сертификат для каждого сервера что вы используете
    • Профи: меньше сертификатов
    • С одним URL-адресом на одном сервере вам может хватить дешевого сертификата с одним URL-адресом
    • При наличии нескольких URL-адресов в одном сертификате вам понадобится (обычно более дорогой) сертификат SAN.
    • Вы можете поддерживать старых клиентов, которые не поддерживают SNI.
    • Конна: добавление / удаление сайтов в сертификате SAN требует перевыпуска

  3. Получить единый сертификат и использовать его на всех серверах.

    • Сертификат SAN требует, чтобы вы явно указали каждый URL-адрес, который хотите использовать, но поддерживает разные домены (webmail.example.com www.example.com example.co.uk my.example.ca и т. Д.) В одном сертификате.
    • Подстановочный сертификат обычно действителен для example.com и каждого поддомена * .example.com, но обычно не действует для других доменных имен (ни для многоуровневых поддоменов ниже подстановочного знака, т.е. some.subdomain.example.com не покрывается * .example. com).

    • Профи: Подстановочный знак - это просто, вы можете добавлять, перемещать и удалять поддомены по желанию на каждый из ваших серверов и с них.

    • Конна: Один сертификат SAN потребуется заменить на каждом сервере, когда сайт добавляется / удаляется на одном из ваших серверов.

Что наиболее важно для вас, зависит от ваших текущих потребностей, ожидаемых изменений и текущих цен на сертификаты, а также затрат на рабочую силу для их внедрения, мониторинга и управления.