क्या प्रत्येक उपडोमेन को अपने एसएसएल प्रमाणपत्र की आवश्यकता है?

41

मैं एक वेबसोकेट सर्वर बना रहा हूं, जो लाइव होगा ws.mysite.example। मैं चाहता हूं कि वेब सॉकेट सर्वर एसएसएल एन्क्रिप्टेड होने के साथ-साथ domain.exampleएसएसएल एन्क्रिप्टेड होना चाहिए। क्या मुझे अपने द्वारा बनाए गए प्रत्येक उपडोमेन के लिए एक नया प्रमाणपत्र खरीदने की आवश्यकता है? क्या मेरे द्वारा बनाए गए प्रत्येक उपडोमेन के लिए मुझे एक समर्पित आईपी पते की आवश्यकता है? मुझे संभवतः एक से अधिक उपडोमेन मिलेंगे।

मैं Ubuntu पर चलने वाले NGINX और Gunicorn का उपयोग कर रहा हूं।

ssl  ssl-certificate  subdomain 
user974407
स्रोत

जवाबों:

44

मैं इसका दो चरणों में उत्तर दूंगा ...

क्या आपको प्रत्येक उपडोमेन के लिए SSL प्रमाणपत्र की आवश्यकता है?

हां और नहीं, यह निर्भर करता है। आपका मानक एसएसएल प्रमाणपत्र एकल डोमेन के लिए होगा, कहते हैं www.domain.example। विभिन्न प्रकार के सीरट्स हैं जिन्हें आप मानक एकल डोमेन प्रमाणपत्र: वाइल्डकार्ड और मल्टी डोमेन सेर से अलग कर सकते हैं

  • जैसे कुछ के लिए एक वाइल्ड कार्ड सर्टिफिकेट जारी किया *.domain.exampleजाएगा और क्लाइंट इसे किसी भी डोमेन के लिए मान्य मानेंगे domain.example, जैसे कि www.domain.exampleया ws.domain.example

  • एक बहु डोमेन प्रमाणपत्र डोमेन नामों की पूर्वनिर्धारित सूची के लिए मान्य है। यह प्रमाण के विषय वैकल्पिक नाम फ़ील्ड का उपयोग करके ऐसा करता है। उदाहरण के लिए, आप एक CA को बता सकते हैं कि आप domain.exampleऔर के लिए एक मल्टी डोमेन सर्टिफिकेट चाहते हैं ws.mysite.example। यह इसे दोनों डोमेन नामों के लिए उपयोग करने की अनुमति देगा।

यदि इनमें से कोई भी विकल्प आपके लिए काम नहीं करता है, तो आपको दो अलग-अलग एसएसएल सेरेक्ट करने होंगे।

क्या मुझे प्रत्येक उपडोमेन के लिए एक समर्पित आईपी की आवश्यकता है?

फिर, यह एक हाँ और नहीं है ... यह सब आपके वेब / एप्लिकेशन सर्वर पर निर्भर करता है। मैं एक Windows लड़का हूं, इसलिए मैं IIS उदाहरणों के साथ जवाब दूंगा।

  • यदि आप IIS7 या पुराने चला रहे हैं, तो आप एक आईपी के लिए एसएसएल सेर को बाध्य करने के लिए मजबूर हैं और आपके पास एक सिंगल आईपी को दिए गए कई सेर नहीं हो सकते हैं। यदि आप प्रत्येक उपडोमेन के लिए एक समर्पित एसएसएल प्रमाणपत्र का उपयोग कर रहे हैं, तो इसके लिए आपको प्रत्येक उपडोमेन के लिए एक अलग आईपी की आवश्यकता होती है। यदि आप एक मल्टी डोमेन सर्टिफिकेट या वाइल्डकार्ड सर्टिफिकेट का उपयोग कर रहे हैं, तो आप सिंगल आईपी के साथ दूर हो सकते हैं क्योंकि आपके पास केवल एक एसएसएल सर्टिफिकेट है जिसके साथ शुरुआत करनी है।

  • यदि आप IIS8 या बाद में चल रहे हैं, तो वही लागू होता है। हालाँकि, IIS8 + में सर्वर नाम इंडिकेशन (SNI) नामक चीज़ के लिए समर्थन शामिल है। एसएनआई आपको एक SSL सर्टिफिकेट को एक होस्टनाम में बाँधने की अनुमति देता है, एक आईपी को नहीं। तो होस्टनाम (सर्वर नाम) जो अनुरोध करने के लिए उपयोग किया जाता है, यह इंगित करने के लिए उपयोग किया जाता है कि आईआईएस को अनुरोध के लिए किस एसएसएल प्रमाणपत्र का उपयोग करना चाहिए।

  • यदि आप एकल आईपी का उपयोग करते हैं, तो आप विशिष्ट होस्टनाम के अनुरोधों का जवाब देने के लिए वेबसाइटों को कॉन्फ़िगर कर सकते हैं।

मुझे पता है कि Apache और Tomcat को भी SNI के लिए समर्थन है, लेकिन मैं उन्हें यह जानने के लिए पर्याप्त नहीं हूं कि कौन से संस्करण इसका समर्थन करते हैं।

जमीनी स्तर

आपके एप्लिकेशन / वेब सर्वर पर निर्भर करता है और आप किस प्रकार के एसएसटी सेर्ट्स प्राप्त करने में सक्षम हैं, यह आपके विकल्पों को निर्धारित करेगा।

pkeenan
स्रोत
मैं Ubuntu पर gunicorn और nginx का उपयोग कर रहा हूं।
user974407
उस स्थिति में, एसएनआई को तब तक उपलब्ध होना चाहिए जब तक ओपनएसएसएल (नेग्नेक्स के लिए) एसएनआई समर्थन के साथ अनुपालन किया गया था। गोमोएक्स के जवाब में लिंक के अनुसार।
18
कुछ एकल उप-डोमेन प्रमाणपत्र मुख्य डोमेन को एक विकल्प के रूप में सूचीबद्ध करते हैं, इसलिए आप पा सकते हैं कि आप एक आईपी पते पर एक प्रमाण पत्र पर www.domain.com और domain.com कर सकते हैं। SNI पर विचार करते समय अपने लक्षित दर्शकों पर विचार करने के लिए सावधान रहें: XP पर IE इसका समर्थन नहीं करता है जो आपको कुछ कॉर्पोरेट उपयोगकर्ताओं के साथ प्रभावित करेगा, न ही कुछ पुराने मोबाइल ब्राउज़र जैसे स्टॉक एंड्रॉइड कम से कम 2.3.5 तक है, जिस पर आपको विचार करने की आवश्यकता है यदि आप मोबाइल उपकरणों को लक्षित करते हैं (यहां पुराने संस्करणों को चलाने के लिए बहुत सारे एंड्रॉइड डिवाइस हैं)।
डेविड स्पिललेट
@ पक्केनन - यह अच्छा होगा यदि उत्तर तकनीकी सुविधाओं को प्रतिबिंबित करने के लिए अद्यतन किया गया था जो कि बिना होस्टनाम के होस्टनाम और डोमेन का समर्थन करते हैं - helpdesk.ssls.com/hc/en-us/articles/…
प्रेरित
> ग्राहक इसे किसी भी डोमेन के लिए वैध मानते हैं जो 'domain.com' के साथ समाप्त होता है, जैसे 'www.domain.com' या 'ws.domain.com'। यह मुझे विश्वास दिलाता है कि यह भी मान्य होगा abc.def.domain.com, क्या ऐसा भी है?
जेफ
7

आप प्रत्येक उपडोमेन, एक एकाधिक उपडोमेन प्रमाण पत्र या वाइल्डकार्ड प्रमाणपत्र (के लिए *.yoursite.example) प्राप्त कर सकते हैं।

वे आम तौर पर हालांकि नियमित प्रमाण पत्र की तुलना में काफी अधिक खर्च करते हैं, और क्योंकि आप एक ही प्रमाण पत्र साझा करते हैं, वे आम तौर पर सुरक्षा के दृष्टिकोण से सबसे अच्छा विकल्प नहीं होते हैं जब तक कि आप एक anything.mydomain.exampleप्रकार के आवेदन की मेजबानी नहीं करते हैं जहां वे एकमात्र व्यावहारिक विकल्प हैं।

यदि आपके पास SNI- सक्षम वेब सर्वर है, तो आपको कई IP पते की आवश्यकता नहीं है । इसने कहा, एसएनआई केवल आधुनिक ब्राउज़रों में समर्थित है (IE6 और नीचे इसके साथ काम नहीं करेगा)। Nginx और Apache के हालिया संस्करण SNI को पारदर्शी रूप से समर्थन करते हैं (बस SSL सक्षम वर्चुअल होस्ट जोड़ें)।

GomoX
स्रोत
आपको "सुरक्षा के दृष्टिकोण से सबसे अच्छा विकल्प नहीं" से क्या मतलब है?
प्रेरित
4
एक एकल प्रमाणपत्र जो आपके सभी मेजबानों के लिए साझा किया जाता है, किसी भी प्रमाण पत्र के उल्लंघन को एक डोमेन-स्तरीय सुरक्षा खतरे में बदल देता है, बजाय इसके कि जो भी सबडोमेन प्रमाण पत्र से जुड़ा था, उसे प्रभावित करता है। उदाहरण के लिए, www.yoursite.com के लिए इस्तेमाल किया जाने वाला प्रमाण पत्र जो कि एक वर्डप्रेस इंस्टाल है, भुगतान के लिए एक ही होगा ।yoursite.com जो एक सुरक्षित क्रेडिट कार्ड प्रोसेसिंग एप्लीकेशन है। यदि पहला लीक होता है, तो दूसरा समझौता किया जाता है।
गोमोएक्स
0

आपको या तो प्रत्येक उपडोमेन के लिए एक अलग प्रमाण पत्र की आवश्यकता होगी, या आप एक वाइल्डकार्ड प्रमाण पत्र ( *.domain.example) खरीद सकते हैं - अधिक महंगा, लेकिन समझ में आता है यदि आप बहुत सारे उपडोमेन की मेजबानी कर रहे हैं।

आईपी ​​के बारे में, यह इस बात पर निर्भर करता है कि आपने अपना सर्वर कैसे सेट किया है। आप एक ही आईपी से कई साइटों की सेवा करने के लिए hostname नियमों का उपयोग कर सकते हैं, या प्रत्येक के लिए अद्वितीय IP का उपयोग कर सकते हैं। दोनों विधियों के पेशेवरों और विपक्ष हैं।

जिम जी।
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.