У меня есть SSL, назначенный на мой основной домен, и мне интересно, могу ли я использовать SSL для моего поддомена! Я откровенно попробовал это, но он показывает страницу с предупреждением о том, что эта страница небезопасна или так далее. Есть ли решение для этого, поэтому я могу использовать SSL в своем поддомене, чтобы клиенты могли отправлять свою информацию в безопасное соединение.
Сообщение об ошибке " This webpage is not available"
Сертификаты X.509 (часто называемые "SSL-сертификаты" ) обычно привязаны только к одному домену, обычно "mydomain.com" , "www.mydomain.com" или "secure.mydomain.com". Они не могут использоваться ни на каком другом доменном имени, даже если это субдомен (поэтому сертификат для "mydomain.com" не может использоваться для "www.mydomain.com" и наоборот).
В настоящее время существует еще 2 типа сертификатов, которые могут одновременно использоваться одновременно для одновременной защиты нескольких доменных имен:
Относительно новый тип сертификата под названием "Сертификат SAN" - сокращение от "Альтернативного имени субъекта" - также иногда называемое "Сертификаты унифицированных коммуникаций" после функции Microsoft Exchange Server, для которой требуется этот тип сертификата. Эти сертификаты объявляют конечный список имен хостов, с которыми они могут быть использованы.
Затем есть подстановочные сертификаты. Исторически это были очень дорого, но в последнее время мы столкнулись с огромным падением цены. С одним из этих сертификатов вы можете обеспечить "anysubdomain.mydomain.com", включая "mydomain.com" верхнего уровня.
Без любого из этих сертификатов SSL вам необходимо получить сертификат SSL для каждого имени домена, которое вы хотите защитить.
Обратите внимание, что наличие другого сертификата для каждого имени хоста/имени домена может вызвать проблемы, поскольку система TLS устанавливает безопасность для канала до отправки заголовка HTTP Host: - это означает, что каждому защищенному веб-сайту нужен свой собственный IP-адрес или номер порта.
... если вы не используете сертификаты SNI (Server Name Identification). Хорошей новостью является то, что все современные браузеры и серверы поддерживают SNI, поэтому несколько защищенных веб-сайтов могут совместно использовать IP-адреса и привязки портов к своим собственным сертификатам (поэтому без единого сертификата SAN, в котором перечислены все домены на нем).
Плохая новость заключается в том, что Internet Explorer в Windows XP не может подключаться к веб-сайтам SNI (но Chrome и Firefox в порядке), а на стороне сервера вам требуется хотя бы Windows Server 2012 или более поздняя версия. Поэтому принимайте SNI, основываясь на популярности IE + XP.