Можно ли использовать SSL сертификат основного домена для поддоменов на стороннем сервере?
разрабатываем софт для клиента. У клиента есть основной домен, разработанный софт будет размещаться на поддомене. Нам важно, чтобы на поддомене работал SSL сертификат и поддомен запускался через https.
подскажите,
1. если у основного домена, к примеру example.ru, есть SSL сертификат и он доступен по https, будет ли этот SSL сертификат распространяться и на все поддомены, к примеру usb.example.ru, этого домена?
2. если поддомены будут расположены на другом сервере, будет ли SSL сертификат работать?
3. в случае размещения поддомена на другом сервере какие настройки нужно сделать для того, чтобы SSL сертификат работал и на этот поддомен?
как выглядит процедура получения SSL сертификата для основного домена и поддоменов если это требуется?
4. если мы являемся разработчиками, а правообладателем домена является клиент, как мы можем получить SSL сертификат для поддомена?
буду признателен за обратную связь.
- Вопрос задан более трёх лет назад
- 23350 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 6
CityCat4 @CityCat4 Куратор тега Цифровые сертификаты
Внимание! Изменился адрес почты!
1. Только, если это оговорено заранее. Такие сертификаты называются wildcard. Но следует иметь в виду, что wildcard-сертификат не распространяется на корневой домен. То есть сертификат, выданный на *.server.net, для самого server.net — не подойдет.
2. Если сертификат физически на другом сервере — нет.
3. Если каждый поддомен на отдельном сервере — нужно получать по сертификату на каждый поддомен
4. Очень сильно зависит от того, сертификат с какой проверкой запросите. Если с минимальной — там хоть кто может его получить. Если с подтверждением — то такой сертификат лучше получать самому заказчику.
Ответ написан более трёх лет назад
Комментировать
Нравится 2 Комментировать
1. Нет, если сертификат не Wildcard;
2. На другом сервере потребуется установка сертификата;
3. Сертификат должен защищать желаемый поддомен явно или быть wildcard-сертификатом;
4. Получить сертификат dv-типа можно не будучи правообладателем, если есть доступ к управлению доменом или поддоменом, для этого достаточно разместить на хостинге проверочный файл, сформированный удостоверяющим центром.
Ответ написан более двух лет назад
Комментировать
Нравится 1 Комментировать
Админ Linux
1. нет. обычно сертификаты выдаются только на один домен (иногда выдают на домен и www.домен)
2. нет, смотри пункт 1. нужно делать отдельные сертификаты. перенести публичный и закрытый ключ на другой сервер не проблема, главное чтобы сертификаты были выпущены для этого домена/поддомена, где они расположены не играет никакой роли.
3. нужно сначала определиться какие нужны сертификаты. если хватит и бесплатно, то смотрите в сторону https://letsencrypt.org/ например.
4. сможете, вы же контактируете с правообладателями в любом случае =)
Ответ написан более трёх лет назад
blabs @theblabs Автор вопроса
Андрей, сертификат нужен самый простой. Мы планируем интегрировать web push, а для этого нужно иметь https. Что может посоветовать нам?
blabs: https://letsencrypt.org/ , выдается на 90 дней, можно настроить автоматическое обновление по cron, и можно будет просто забыть про него.
Ульрих @ulrich-schnauss
Андрей Михалёв, Вы не поняли вопрос и даете неправильные ответы. Он спрашивает про субдомены, а не про другие домены
blabs @theblabs Автор вопроса
Андрей Михалёв: как выглядит процедура получения бесплатного сертификата? Она аналогична платной процедуре или в упрощенном виде? Мы сможем получить сертификат без привлечения клиента к этому вопросу имея доступ к серверу, где привязан поддомен?
blabs @theblabs Автор вопроса
Андрей Михалёв: У нас есть почта на субдомене, есть доступ к серверу, где расположен субдомен. Сможем ли мы с этим набором самостоятельно получить SSL сертификат?
Ульрих: все могут ошибаться
1. В общем случае неверно. В сертификате может быть несколько доменных имён, причём совершенно несвязанных. Вот, например, список имён в сертификате главной страницы Яндекса:
DNS Name: xmlsearch.yandex.ua DNS Name: yandex.net DNS Name: images.yandex.ru DNS Name: xmlsearch.yandex.com.tr DNS Name: family.yandex.com.tr DNS Name: people.yandex.kz DNS Name: m.yandex.kz DNS Name: xmlsearch.yandex.com DNS Name: play.yandex.com.tr DNS Name: gorsel.yandex.com.tr DNS Name: images.yandex.com DNS Name: aile.yandex.com.tr DNS Name: m.yandex.ua DNS Name: game.yandex.com.tr DNS Name: video.yandex.ua DNS Name: yandex.com.tr DNS Name: video.yandex.ru DNS Name: yandex.kz DNS Name: video.yandex.com.tr DNS Name: m.yandex.ru DNS Name: www.yandex.ua DNS Name: www.yandex.kz DNS Name: games.yandex.com.tr DNS Name: m.yandex.com DNS Name: yandex.ua DNS Name: yandex.by DNS Name: images.yandex.ua DNS Name: xmlsearch.yandex.kz DNS Name: m.yandex.by DNS Name: www.yandex.ru DNS Name: video.yandex.com DNS Name: video.yandex.by DNS Name: oyun.yandex.com.tr DNS Name: xmlsearch.yandex.ru DNS Name: people.yandex.by DNS Name: people.yandex.ru DNS Name: images.yandex.kz DNS Name: www.yandex.com DNS Name: yandex.com DNS Name: m.yandex.com.tr DNS Name: images.yandex.com.tr DNS Name: www.yandex.com.tr DNS Name: xmlsearch.yandex.by DNS Name: people.yandex.ua DNS Name: yandex.ru DNS Name: www.yandex.by DNS Name: video.yandex.kz DNS Name: images.yandex.by
Про Let’s encrypt возможно будет полезна статья
https://kostikov.co/post/poluchaem-i-obnovlyaem-ss.
Алексей Тен: давайте будем реалистами, и не будем сравнивать крупные компании, с компанией у которой было только 1 доменное имя и сертификат к нему. если бы вопросы были общими и конкретными можно было бы меня поучить и ткнуть носом — мол не прав я. в данном конкретном случае — сертификата на поддомены (кроме www) скорее всего нет.
Ульрих всё более или менее верно написал.
Но есть ряд уточнений:
по п.3 — Let’s encrypt позволяет добавлять и удалять домены из сертификата после его выдачи;
по п.4 — обычный сертификат на требует сложных проверок и вам будет достаточно лишь удостоверить ваше управление веб-сервером, где размещается сайт под именем домена your.domain, для которого запрашивается сертификат, либо иметь доступ к почтовой запиcи postmaster@your.domain (hostmaster, webmaster).
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Компания FirstSSL
1. Зависит от типа сертификата на основном домене.
а) Если это типовой Comodo PositiveSSL или аналоги -нет, не будет. Т.к. они рассчитаны на защиту одного домена любого вида.
б) Если это WildCard — защищен будет основной домен и поддомен на 1 уровень «вглубь»(если так можно выразиться). Например:
Основной домен: ромашка.ру,
Поддомены: моя.ромашка.ру, твоя.ромашка.ру и т.д.
Основной домен: моя.ромашка.ру
Поддомены: почта.моя.ромашка.ру, база.моя.ромашка.ру и т.д.
в) Если это Multidomain сертификат, то будут защищены все необходимые домены и поддомены, единственное, что каждый поддомен придется указывать как самостоятельный домен. Это будет затратно и не выгодно. Т.к. в стоимость сертификата обычно входит только 2 или 3 защищаемых домена, за каждый дополнительный придется доплачивать.
Уточнение: RapidSSL Wildcard будет работать только в случае если основной домен вида: ромашка.ру. К остальным поставщикам сертификатов это не относится.
2. Будет работать Wildcard. Необходимо будет установить его на все серверы, где расположены домен и поддомены.
3. При формирования заказа на сертификат, если типовой сертификат Comodo PositiveSSL, то просто заказывать на домен и каждый поддомен отдельный сертификат. Если Wildcard, то при формирования заказа указать домен и все поддомены.
4. Заказ на сертификат можете сделать и вы, если вы будете являться контактным лицом и у вас есть доступ к необходимым почтовым ящикам и информации о компании. Владельцем сертификата в любом случае будет клиент.
Как установить SSL-сертификат на сайт
SSL-сертификат (Secure Sockets Layer в переводе с англ. яз. – это уровень защищённых сокетов) – это протокол безопасности для защиты сайта, который обеспечивает конфиденциальность обмена данными между посетителями и самим сайтом.
В этой статье мы будем рассматривать только официальные и легальные способы получения и установки SSL-сертификата безопасности на сайт.
Как получить бесплатный SSL-сертификат
К сравнению возьмём 2 самые крупные и надежные компании-регистраторы REG.RU и NIC.RU. Самый лучший и проверенный способ – бесплатно получить SSL при покупки домена или хостинга.
NIC.RU – он же «RU center» на данный момент (12 июня 2022 года): предоставление бесплатных SSL-сертификатов в рамках акций приостановлено в связи с отказом удостоверяющего центра Digicert выпускать сертификаты для России. Сроки возобновления выпуска в настоящее время не определены.
REG.RU – он же «Регистратор доменных имен РЕГ.РУ» на данный момент до сих пор предоставляет бесплатные SSL-сертификаты при покупки хостинга или домена.
Где выгоднее купить SSL-сертификат
Сравним основные типы SSL-сертификаты. Все нижеприведённые сертификаты подходят для физических и юридических лиц.
Сейчас SSL-сертификаты выпускаются дольше обычного (10-15 дней), на практике это может занять 1-2 месяца. Раньше время выпуска было 3-5 дней, идёт задержка при проверке российских сайтов (со стороны зарубежной компании, удостоверяющего центра – GlobalSign).
Если вам нужно срочно поставить SSL-сертификат – можно установить временный (предварительно купить один из платных и заказать выпуск).
Временный SSL-сертификат у компании reg.ru как раз таки называется Let’s Encrypt SSL. Заказать временный бесплатный SSL можно через техподдержку хостинга (регистратора доменного имени reg.ru).
Пошаговая инструкция быстрого восстановления SSL-сертификата
- Заказываете новый (один из платных) SSL-сертификатов, например в reg.ru
- Сразу пишите в поддержку reg.ru с просьбой о выпуски временного Let’s Encrypt SSL – вам его установят в течении 1-3 дней
- После пишите в компанию GlobalSign на электронную почту support@globalsign.com, которая проводит проверку сайта с номером заказа (от регистратора) с просьбой об ускоренной проверке, образец письма: «Здравствуйте! Уточните, пожалуйста, на какой стадии находится проверка по выпуску SSL-сертификата для site.ru – Order ID CEAP220*******09. Просьба ускорить процесс проверки, наш сайт соответствует всем требованиям для выпуска SSL-сертификата»
- Как только платный SSL-сертификат будет выпущен – замените на него временный (по инструкции reg.ru)
Это всё желательно делать быстро, в особенности 1 и 2 пункт – про временный SSL-сертификат, для того чтобы сайт не пропал из поисковой выдачи (не просел по SEO)… если он, конечно, ранее продвигался.
- Что такое SEO простыми словами /blog/chto-takoe-seo
- Услуга SEO-продвижение сайта в поисковых системах /blog/seo-prodvizhenie
SSL сертификат для поддомена
На сервере с основным доменом установлен платный SSL сертификат. Можно ли например сгенерировать Let’s Encrypt сертификат для поддомена, который будет использоваться на другом сервере? Или возможно только отказаться от платного сертфиката и сгенерировать 1 wildcard сертификат для обоих серверов?
zorinquen ★
13.12.20 13:59:29 MSK
vvn_black ★★★★★
( 13.12.20 14:00:43 MSK )
Ответ на: комментарий от vvn_black 13.12.20 14:00:43 MSK
конфликтовать не будут?
zorinquen ★
( 13.12.20 14:15:52 MSK ) автор топика
Ответ на: комментарий от zorinquen 13.12.20 14:15:52 MSK
Ты даже для одного и того же домена можешь использовать сколько угодно разных сертификатов.
Нечему там конфликтовать, если только в NS не прописан запрет на другие центры сертификации.
Goury ★★★★★
( 13.12.20 14:19:39 MSK )
Ответ на: комментарий от zorinquen 13.12.20 14:15:52 MSK
vvn_black ★★★★★
( 13.12.20 14:35:01 MSK )
Ответ на: комментарий от vvn_black 13.12.20 14:35:01 MSK
голова с руками
deep-purple ★★★★★
( 13.12.20 14:41:25 MSK )
Ответ на: комментарий от vvn_black 13.12.20 14:00:43 MSK
при этом надо обычный сертификат Let’s encrypt для поддомена генерировать или wildcard сертификат?
zorinquen ★
( 13.12.20 15:06:37 MSK ) автор топика
Ответ на: комментарий от zorinquen 13.12.20 15:06:37 MSK
Домен третьего уровня (foo.example.org) технически ничем не отличается от домена второго уровня (example.org). В некотором приближении. Чтобы иметь сертификат для example.org тебе обязательно получать windcard сертификат для *.org?
MrClon ★★★★★
( 13.12.20 15:15:02 MSK )
Ответ на: комментарий от zorinquen 13.12.20 15:06:37 MSK
Как хочешь, и тот и этот будут работать. Для обычного автоматизация обновления попроще.
vvn_black ★★★★★
( 13.12.20 15:35:53 MSK )
Последнее исправление: vvn_black 13.12.20 15:36:59 MSK (всего исправлений: 1)
Ответ на: комментарий от MrClon 13.12.20 15:15:02 MSK
zorinquen ★
( 13.12.20 15:53:57 MSK ) автор топика
Ответ на: комментарий от zorinquen 13.12.20 15:06:37 MSK
при этом надо обычный сертификат Let’s encrypt для поддомена генерировать или wildcard сертификат?
1.сертификат это всего лишь файл(упрощенно). ты можешь иметь их сколько угодно для одного домена. ты можешь сгенерироть 100 сертификатов от letsencrypt + еще 100 штук купить и все они будут валидными.
- Как писали выше, foo.example.org и example.org это разные домены. Единственное общее у них в плане сертификации, что для ПРОВЕРКИ wild тебе достаточно подтврдить владение доменом второго уровня, те example.org. ( да и то, это только потому , что так решил центр, выдающий сертификат), центров много и это все разные юр лица. Но никто не мешает получать серт просто на foo.example.org
Короче, в получении сертификатов нет никакой магии.
constin ★★★★
( 14.12.20 00:47:12 MSK )
Последнее исправление: constin 14.12.20 00:48:35 MSK (всего исправлений: 1)
Защита поддоменов. SSL-сертификат с поддержкой поддоменов
Действие стандартного SSL-сертификата распространяется на домен, который указан при заказе (например, faq-reg.ru), и его поддомены с «mail» и с «www» (например, mail.faq-reg.ru и www.faq-reg.ru).
Если вы хотите защитить другие поддомены (например, support.faq-reg.ru, blog.faq-reg.ru и т.п.), при заказе выберите сертификат с поддержкой поддоменов. Благодаря этой опции будут защищены сам домен и все его поддомены.
- Если при заказе услуги вы укажете домен mysite.ru, SSL-сертификат будет защищать все поддомены вида .mysite.ru: shop.mysite.ru, forum.mysite.ru, wiki.mysite.ru и т.д., но не будет защищать домены 4 уровня .shop.mysite.ru.
- Если же при заказе вы укажете поддомен 3 уровня shop.mysite.ru, SSL-сертификат будет защищать все поддомены 4 уровня .shop.mysite.ru: 1.shop.mysite.ru, 2.shop.mysite.ru, 3.shop.mysite.ru и т.д., но не будет защищать домены 5 уровня .1.shop.mysite.ru.
Чтобы выбрать сертификат с поддержкой поддоменов, перейдите на страницу заказа SSL. На странице будут представлены все доступные SSL-сертификаты с поддержкой Wildcard (т.е. с защитой поддоменов), их стоимость и технические характеристики.
В Рег.ру вы можете заказать следующие Wildcard-сертификаты:
- GlobalSign AlphaSSL — доступен для физических лиц;
- GlobalSign DomainSSL — доступен для физических лиц;
- GlobalSign OrganizationSSL.
Обратите внимание, после покупки и активации SSL-сертификата с защитой поддоменов в наименовании услуги будет фигурировать слово «Wildcard».