Üzerinde yaşayacağı bir websocket sunucusu oluşturuyorum ws.mysite.example. Web soket sunucusunun SSL şifreli domain.exampleolmasını ve SSL şifreli olmasını istiyorum. Oluşturduğum her alt alan için yeni bir sertifika almam gerekir mi? Yarattığım her alt alan için ayrı bir IP adresine ihtiyacım var mı? Muhtemelen birden fazla alt etki alanına sahip olacağım.
Ubuntu'da çalışan NGINX ve Gunicorn kullanıyorum.
Yanıtlar:
Buna iki adımda cevap vereceğim ...
Her bir alt etki alanı için bir SSL sertifikası ihtiyacınız var mı?
Evet ve Hayır, bağlıdır. Örneğin, standart SSL sertifikanız tek etki alanı için olacak www.domain.example. Tekli standart etki alanı sertifikasından başka yapabileceğiniz farklı cer türleri vardır: joker karakter ve çoklu etki alanı sertifikaları.
Gibi bir şey için bir çılgın kart sertifikası düzenlenir *.domain.exampleve müşteriler bu veya ile biten herhangi bir alan için geçerli domain.exampleolarak değerlendirilir .www.domain.examplews.domain.example
Bir çoklu alan sertifika alan adlarının önceden tanımlı bir liste için geçerlidir. Bunu, sertifikanın Konu Alternatif Adı alanını kullanarak yapar. Örneğin, bir CA'ya domain.exampleve için çok etki alanı sertifikası istediğinizi söyleyebilirsiniz ws.mysite.example. Bu, her iki etki alanı adı için kullanılmasına izin verir.
Bu seçeneklerden hiçbiri sizin için işe yaramazsa, iki farklı SSL sertifikasına sahip olmanız gerekir.
Her Alt Alan İçin Özel Bir IP'ye İhtiyacım Var mı?
Yine, bu bir evet ve hayır ... hepsi web / uygulama sunucunuza bağlıdır. Ben bir Windows üyesiyim, bu yüzden IIS örnekleriyle cevap vereceğim.
IIS7 veya daha eski bir sürümü kullanıyorsanız, SSL sertifikalarını bir IP'ye bağlamak zorunda kalırsınız ve tek bir IP'ye atanmış birden fazla sertifikaya sahip olamazsınız. Bu, her bir alt etki alanı için ayrı bir SSL sertifikası kullanıyorsanız, her alt etki alanı için farklı bir IP’ye sahip olmanız gerekir. Çok etki alanı sertifikası veya joker karakter kullanıyorsanız, başlangıçta yalnızca bir SSL sertifikası bulunduğundan tek IP'den kurtulabilirsiniz.
IIS8 veya daha yenisini kullanıyorsanız, aynı durum geçerlidir. Ancak, IIS8 +, Sunucu Adı Göstergesi (SNI) adı verilen bir şey için destek içerir. SNI, bir SSL sertifikasını bir IP'ye değil, bir ana bilgisayar adına bağlamanızı sağlar. Bu nedenle, isteği yapmak için kullanılan ana bilgisayar adı (IIS, istek için IIS'nin hangi SSL sertifikasını kullanması gerektiğini belirtmek için kullanılır).
Tek bir IP kullanıyorsanız, web sitelerini belirli ana bilgisayar adlarının isteklerine yanıt verecek şekilde yapılandırabilirsiniz.
Apache ve Tomcat’ın da SNI’yi desteklediğini biliyorum, ancak hangi sürümlerin onu desteklediğini bilecek kadar tanımıyorum.
Alt çizgi
Uygulamanıza / web sunucunuza ve ne tür SSL sertifikaları alabileceğinize bağlı olarak seçeneklerinizi belirleyeceksiniz.
abc.def.domain.com, öyle mi?
Her bir alt etki alanı için bir sertifika, birden fazla alt etki alanı veya bir joker sertifika (için *.yoursite.example) alabilirsiniz.
Genellikle normal sertifikalardan biraz daha pahalıya mal olurlar ve tek bir sertifikayı paylaştığınız için, uygulanabilir olan tek seçenek olan bir anything.mydomain.exampleuygulama türüne sahip olmadığınız sürece genellikle güvenlik açısından en iyi seçenek değildir .
SNI özellikli bir web sunucunuz varsa, birden fazla IP adresine de ihtiyacınız yoktur . Bu, SNI'nin yalnızca modern tarayıcılarda desteklendiğini söyledi (IE6 ve altındakiler onunla çalışmaz). Nginx ve Apache'nin son sürümleri SNI'yi şeffaf bir şekilde destekliyor (yalnızca SSL özellikli sanal konaklar ekleyin).
Her bir alt etki alanı için ayrı bir sertifikaya ihtiyacınız olacak veya joker bir cert ( *.domain.example) satın alabilirsiniz - daha pahalı, ancak çok fazla alt etki alanı barındırıyorsanız anlamlı olur.
IP'lerle ilgili olarak, sunucunuzu nasıl kurduğunuza bağlıdır. Aynı IP’den birden fazla siteye hizmet vermek için ana bilgisayar adı kurallarını kullanabilir veya her biri için benzersiz IP’ler kullanabilirsiniz. Her iki yöntemin de artıları ve eksileri var.