Je suis en train de créer un serveur websocket qui va vivre sur ws.mysite.example . Je veux que le serveur de socket web soit crypté en SSL ainsi que domain.example pour être crypté par SSL. Dois-je acheter un nouveau certificat pour chaque sous-domaine que je crée ? Ai-je besoin d'une adresse IP dédiée pour chaque sous-domaine que je crée ? Je vais probablement avoir plus d'un sous-domaine.
J'utilise NGINX et Gunicorn sous Ubuntu.
Je vais répondre à cette question en deux temps...
Avez-vous besoin d'un certificat SSL pour chaque sous-domaine ?
Oui et non, cela dépend. Votre certificat SSL standard sera pour un seul domaine, par exemple www.domain.example . Il existe différents types de certificats, en dehors du certificat standard pour un seul domaine : les certificats avec caractères génériques et les certificats multi-domaines.
A wild card cert sera émis pour quelque chose comme *.domain.example et les clients considéreront que cela est valable pour tout domaine se terminant par domain.example comme www.domain.example ou ws.domain.example .
A certificat multi-domaine est valable pour une liste prédéfinie de noms de domaine. Pour ce faire, il utilise le champ Subject Alternative Name du certificat. Par exemple, vous pouvez indiquer à une autorité de certification que vous voulez un certificat multi-domaine pour domain.example y ws.mysite.example . Cela lui permettrait d'être utilisé pour les deux noms de domaine.
Si aucune de ces options ne vous convient, il vous faudra alors disposer de deux certificats SSL différents.
Ai-je besoin d'une IP dédiée pour chaque sous-domaine ?
Encore une fois, c'est un oui et un non... tout dépend de votre serveur web/application. Je suis un gars de Windows, donc je vais répondre avec des exemples de IIS.
Si vous utilisez IIS7 ou une version antérieure, vous êtes obligé de lier les certificats SSL à une IP et vous ne pouvez pas avoir plusieurs certificats affectés à une seule IP. Vous devez donc disposer d'une IP différente pour chaque sous-domaine si vous utilisez un certificat SSL dédié pour chaque sous-domaine. Si vous utilisez un certificat multi-domaine ou un certificat générique, vous pouvez vous passer d'une seule IP car vous n'avez qu'un seul certificat SSL au départ.
Si vous utilisez IIS8 ou une version ultérieure, il en va de même. Toutefois, IIS8+ prend en charge ce que l'on appelle l'indication du nom du serveur (SNI). SNI vous permet de lier un certificat SSL à un nom d'hôte, et non à une adresse IP. Ainsi, le nom d'hôte (nom du serveur) utilisé pour faire la demande est utilisé pour indiquer le certificat SSL que IIS doit utiliser pour la demande.
Si vous utilisez une seule IP, vous pouvez configurer les sites web pour qu'ils répondent aux demandes de noms d'hôtes spécifiques.
Je sais qu'Apache et Tomcat prennent également en charge SNI, mais je ne les connais pas assez pour savoir quelles versions le supportent.
Ligne de fond
Vos options dépendront de votre application/serveur web et du type de certificat SSL que vous êtes en mesure d'obtenir.
Vous pouvez obtenir un certificat pour chaque sous-domaine, un certificat pour plusieurs sous-domaines ou un certificat de type certificat wildcard (pour *.yoursite.example ).
Cependant, ils coûtent généralement un peu plus cher que les certificats ordinaires et, étant donné que vous partagez un seul certificat, ils ne sont généralement pas la meilleure option du point de vue de la sécurité, à moins que vous n'hébergiez un site Web. anything.mydomain.example type d'application où ils constituent le seul choix possible.
Vous n'avez pas non plus besoin de plusieurs adresses IP si vous avez une Serveur web compatible avec SNI . Cela dit, SNI n'est pris en charge que par les navigateurs modernes (IE6 et les versions inférieures ne fonctionnent pas avec). Les versions récentes de Nginx et Apache prennent en charge SNI de manière transparente (il suffit d'ajouter des hôtes virtuels compatibles SSL).
Je recommande " getssl "pour créer un certificat SSL pour un sous-domaine hébergé sur un autre serveur.
Let't say:
You have a primary domain (example.com) with SSL Cert on SERVER A.
You have a subdomain (vm1.example.com) without SSL Cert on SERVER B.Vous pouvez utiliser " getssl "pour créer un certificat SSL pour un sous-domaine qui utilise letsencrypt.org.
Vous aurez besoin d'un certificat distinct pour chaque sous-domaine ou vous pouvez acheter un certificat générique ( *.domain.example ) - plus cher, mais utile si vous hébergez beaucoup de sous-domaines.
En ce qui concerne les IP, cela dépend de la façon dont vous configurez votre serveur. Vous pouvez utiliser des règles de nom d'hôte pour servir plusieurs sites à partir de la même IP, ou utiliser des IP uniques pour chacun d'eux. Les deux méthodes présentent des avantages et des inconvénients.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
