Один ssl сертификат на несколько поддоменов

Мы уже рассказывали, как получить бесплатный SSL-сертификат от сервиса Let’s Encrypt. Сегодня они анонсировали поддержку бесплатных Wildcard сертификатов — событие, которого все давно ждали.

Wildcard SSL-сертификат отличается от обычного тем, что выдаётся не на одно доменное имя (например, ifmo.su), а сразу на группу поддоменов (*.ifmo.su). В эту группу входят example.ifmo.su, bot.ifmo.su и даже thisisdummydomain.ifmo.su, то есть на неограниченное количество вариантов.

Такие сертификаты существенно упрощают жизнь администратору. Теперь не нужно отдельно получать и обновлять сертификат для каждого поддомена — достаточно проделать всю процедуру один раз.

Подготовка

Для получения и установки Wildcard-сертификата мы будем использовать утилиту ACME.sh, которая уже из коробки поддерживает работу с Let’s Encrypt.

Подключитесь по SSH к вашему серверу и выполните следующие команды:

Вы увидите сообщение об успехе, а в вашей домашней директории появится папка .acme.sh

Один ssl сертификат на несколько поддоменов

Получение сертификата

Перейдите в директорию .acme.sh и выполните следующую команду, заменив в ней адрес домена ifmo.su на ваш.

cd .acme.sh
./acme.sh —issue -d *.ifmo.su —dns

Acme.sh соединится с сервисом Let’s Encrypt по протоколу ACMEv2 для получения заявки на сертификат. Вы увидите следующий результат.

Один ssl сертификат на несколько поддоменов

В этом сообщении вам говорят, что необходимо создать в панели управления доменом TXT-запись для домена _acme-challenge.ifmo.su со значением Q1b4d3J9BwRqQ-Z3qlu6soL4YuF9BG1Y212QI3ie3K4.

Установка DNS-записей

Теперь вам нужно найти панель управления DNS-записями у вашего хостинг-провайдера и добавить туда требуемую запись.

Например, панель управления DNS нашего хостинга выглядит следующим образом:

Один ssl сертификат на несколько поддоменов

После того, как вы добавите TXT-запись, выполните следующую команду

./acme.sh -d *.ifmo.su —renew

Сервис Let’s Encrypt проверит TXT-запись и убедится, что вы действительно владелец домена. Результат не заставит себя ждать.

Один ssl сертификат на несколько поддоменов

На экране будет указано, где расположены файлы сертификата. В нашем случае, это директория /root/.acme.sh/*.ifmo.su

Сертификат для основного домена

Важно отметить, что SSL-сертификат мы получили на все домены в зоне *.ifmo.su. Однако, на сам ifmo.su нужно выписывать отдельный сертификат. Для этого достаточно выполнить команду и повторить все операции.

./acme.sh —issue -d ifmo.su —dns

Можно было при регистрации Wildcard-сертификата указать сразу несколько доменов.

./acme.sh —issue -d *.ifmo.su -d ifmo.su —dns

Обратите внимание, что для подключения поддоменов, вы должны использовать верификацию через DNS и создавать TXT-записи.

Обычные же сертификаты на один домен можно получить другими более простыми способами. Подробнее читайте в нашей предыдущей статье и в официальной документации.

Другие клиенты

Существуют и другие утилиты, поддерживающие работу с Let’s Encrypt. Например, с помощью certbot можно получить сертификат схожим образом:

./certbot-auto certonly —manual -d *.ifmo.su —agree-tos —manual-public-ip-logging-ok —preferred-challenges dns-01 —server https://acme-v02.api.letsencrypt.org/directory

На данный момент certbot поддерживает Wildcard сертификаты только в версии 0.22. Поэтому, необходимо устанавливать его напрямую из Git репозитория.

Проверяем в действии

Для примера создадим простейший Nginx-конфиг для всех доменов *.ifmo.su

В данном примере мы скопировали ключи из /root/.acme.sh/*.ifmo.su/*.ifmo.su.cer в /etc/ssl/ifmo.su.cer и /root/.acme.sh/*.ifmo.su/*.ifmo.su.key в /etc/ssl/ifmo.su.key.

После этого вы сможете перейти на любой поддомен вашего сайта по протоколу HTTPS.

Подведём итоги

С помощью сервиса Let’s Encrypt и утилит acme.sh или certbot можно легко и быстро получить бесплатный Wildcard SSL-сертификат для всех своих доменов и их поддоменов. Сертификат будет действителен в течение трёх месяцев, однако, его не составит труда обновить, действуя по нашей инструкции.

Собираемся заводить много поддоменов для региональных отделений школы.
будут поддомены вида:
kursk.school.ru
is.kursk.guitardo.ru
и по другим регионам. Всего несколько десятков штук.

В reg.ru мне написали, что придется покупать на каждый поддомен отдельный сертификат. И даже если брать Wildcard, на *.school.ru он будет защищать только поддомены на 1 уровень вглубь. То есть
kursk.school.ru, sochi.school.ru,
а если делать поддомены is.kursk.school.ru, то нужно брать отдельно сертификат на *.kursk.school.ru

Может быть есть в природе сертификаты, пусть гораздо более дорогие, но которые действуют хотя бы на два уровня вглубь?
То есть покупаем один сертификат для *.school.ru и защищаем сразу все поддомены всех уровней 🙂

Читать также:  Мос ру сертификат о вакцинации от covid 19 на английском языке

1. Существует такое в природе?
2. Если нет, как ещё можно оптимизировать защиту большого количества поддоменов?

Есть сертификаты гораздо менее дорогие, которые действуют на конкретный домен (или поддомены), легко и автоматически выпускаются/обновляются и при грамотной настройке вообще не требуют практически никакого внимания живого человека. А все эти потуги выпустить Сертификат Всевластия — имхо, довольно печальны с т. з. безопасности (много мест потенциальной компрометации ключа), оптимизации расходов (платим фактически за воздух, при наличии-то альтернативы, технически не уступающей) и в 2018 году выглядят не очень.

Заведите свой CA — и делайте что хотите. Плюс — бесплатно. Минус — требует мозгов, знания того, что делаешь и установки корневого сертификата на каждого клиента.

IMHO, если у Вас есть денег на покупку school.ru — то наверное и на админа, разбирающегося в вопросах сертификатов найдется. Хотя конечно же это не мое дело 🙂

Можно, конечно попробовать добавлять все вторые уровни в SAN, но я так не делал никогда, потому что на корпоративном уровне свой CA неизмеримо проще.

28 апр. 2023, в 19:31

3000 руб./за проект

28 апр. 2023, в 17:32

125000 руб./за проект

28 апр. 2023, в 17:01

15000 руб./за проект

Время на прочтение

Не так давно REG.RU представил пользователям облачные сервисы на базе хостинг-платформы Jelastic. Несмотря на то, что пользоваться ей достаточно просто, к специалистам техподдержки REG.RU часто обращаются с уточняющими вопросами по поводу работы с платформой Jelastic PaaS. В Сети на текущий момент очень мало подробных инструкций на русском языке, поэтому иногда мы будем рассказывать в блоге REG.RU о том, что больше всего интересует наших клиентов.

А теперь переходим непосредственно к теме поста.

Что такое Wildcard SSL?

Wildcard SSL – это универсальный SSL-сертификат, который позволяет направить сразу несколько хостов с одного доменного имени на один сервер. Это позволяет избавиться от необходимости покупать индивидуальные SSL-сертификаты для каждого из своих поддоменов. Именно поэтому Wildcard SSL является идеальным решением для сайтов крупных организаций и коммерческих интернет-проектов.

Плюсы Wildcard SSL

• Стоимость. Покупка Wildcard SSL-сертификата позволит пользователю сохранить кругленькую сумму, избавив от необходимости приобретать несколько традиционных сертификатов.
• Экономия времени. Больше не придется тратить время, настраивая сразу 20 различных индивидуальных SSL-сертификатов, и делать это каждый раз, когда наступает время их обновления. Установить и в дальнейшем поддерживать нужно будет только один SSL-сертификат.

Wildcard SSL-сертификат – это:

• Удобное управление. Процесс настройки SSL-сертификата максимально упрощен и не требует каких-либо специальных знаний – все делается в несколько кликов.
• Быстрая проверка. Благодаря Wildcard SSL, сайт будет проверен и запломбирован так быстро, как это возможно.
• Общепринятый стандарт шифрования данных. Несмотря на удобство использования и низкую цену жертвовать безопасностью не придется. Посетители веб-сайта всегда будут чувствовать себя максимально защищенными.

Как подключить Wildcard SSL?

1. Зарегистрируйтесь на сайте REG.RU по адресу: https://app.jelastic.regruhosting.ru/ или войдите в уже существующую учетную запись Jelastic;
2. Затем на панели управления Jelastic нажмите «Создать окружение»:

Один ssl сертификат на несколько поддоменов

3. Войдите в «Режим мастера настройки» и выберите ваш сервер приложений (например, Tomcat 7);
4. Нажмите на кнопку «SSL» и переключитесь на «Jelastic SSL» (другое название Wildcard SSL);
5. Введите название вашего окружения и нажмите кнопку «Создать».

Один ssl сертификат на несколько поддоменов

Это все, что нужно сделать!

В следующий раз, когда вы нажмете кнопку «Открыть в браузере», вы увидите, что связь с окружением теперь происходит через HTTPS.

Читать также:  Сколько действует сертификат об окончании автошколы для сдачи экзамена в гаи

Один ssl сертификат на несколько поддоменов

Один ssl сертификат на несколько поддоменов

Примечание:
• Wildcard SSL доступен только для сайтов на *.jelastic.regruhosting.ru, не для пользовательских URL;
• Wildcard SSL будет отключен при включении IPv4 для любого узла вашего окружения:

Один ssl сертификат на несколько поддоменов

Wildcard SSL от Jelastic поможет сэкономить время и деньги, потраченные на защиту каждого из поддоменов.

Мультидоменные (Multidomain) SSL сертификаты

Один ssl сертификат на несколько поддоменов

GlobalSign DomainSSL Certificate

  • Защита одного домена
  • Скорость выдачи: 5 минут
  • Проверка домена
  • Защита версий с www и без
  • Гарантия 10,000$

5 990 ₽ / в год

2 990 ₽ / в год

GlobalSign OrganizationSSL Multi-Domain Wildcard

  • Защита поддоменов
  • Выдача: от 1 рабочего дня
  • Гарантия 1,250,000$
  • Защита версий с www и без
  • Проверка домена и компании
  • Защита множества доменов
  • Выдача: от 1 рабочего дня
  • Гарантия 1,250,000$
  • Защита версий с www и без
  • Проверка домена и компании

11 090 ₽ / в год

8 090 ₽ / в год

GlobalSign MDC EV SSL Certificate

  • Гарантия 1,500,000$
  • Зеленая адресная строка
  • Расширенная проверка компании
  • Выдача: от 1 рабочего дня
  • Множество доменов

GlobalSign EV SSL Certificate

  • Гарантия 1,500,000$
  • Зеленая адресная строка
  • Расширенная проверка компании
  • Выдача: от 1 рабочего дня

21 990 ₽ / в год

18 990 ₽ / в год

Мультидоменный SSL (MDC SSL) — сертификат, также известный как (сертификат Unified Communications или сертификат SAN SSL) представляет собой тип сертификата, который использует альтернативные имена субъекта (SAN) для защиты нескольких веб-сервисов. В поле SAN сертификата может быть включено любое количество разных доменных имен, что позволяет сертификату работать с любым из включенных доменных имен.

Например, Вы можете получить один Мультидоменный SSL — сертификат (Multidomain SSL), чтобы защитить следующие домены:

  • multidomain.ru;
  • multidomain-ssl.ru;
  • защита-сертификатом.рф;
  • secured-site.com.

Это поможет обеспечить значительную экономию затрат и времени во многих ситуациях. Также данный сертификат требуется для определенных функций в Microsoft Exchange Server, Skype for business, Office Communications Server и Live Communications Server.

Вы можете легко добавить SAN к своим SSL сертификатам DV, OV или EV для защиты нескольких доменов или поддоменов.

Типы мультидоменных SSL сертификатов

Один ssl сертификат на несколько поддоменов

SSL – cертификат c проверкой домена (DV) — является идеальным выбором для защиты вашего блога, личного сайта или сайта малого бизнеса. Поскольку никаких документов не требуется, процесс получения сертификата очень быстрый и простой. Вы можете подтвердить право собственности на свой домен с помощью административного адреса электронной почты. Но в то же время, если у вас есть веб-сайт электронной коммерции или сайт, который собирает личные данные пользователя, вам следует подумать о приобретении сертификатов с проверкой организации (OV) или Extended Validation (EV), которые сделают ваш сайт более надежным.

Один ssl сертификат на несколько поддоменов

SSL-сертификат Organization Validation (OV) рекомендуется тем, у кого есть Интернет магазин, сайт компании. Центр сертификации (ЦС) проверит, ведет ли Ваш бизнес законную деятельность. Поскольку проверка выполняется вручную, срок выпуска OV SSL осуществляется от 2 рабочих дней.

Один ssl сертификат на несколько поддоменов

EV сертификаты SSL однозначно рекомендуется, если целью вашего веб-сайта является обеспечение крупных продаж или выполнение финансовых транзакций, вам следует рассмотреть возможность приобретения сертификата расширенной проверки. Поскольку этот тип SSL-сертификата активирует зеленую адресную строку (с названием вашей организации) и даст вашему сайту более высокий уровень доверия!

Основные качества Мультидоменных SSL

Один ssl сертификат на несколько поддоменов

При использовании даже стандартного SSL — сертификата получает печать защиты сайта, которая помогает повысить доверие ваших будущих клиентов. Когда посетители находятся на Вашем сайта, они знают, что сайт защищен доверенным CA.

Один ssl сертификат на несколько поддоменов

Быстрая защита для вашего сайта

Оптимальные OV SSL — сертификаты являются идеальным решением для начинающих компаний, которые имеют малый или средний бизнес — модуль и хотят связать онлайн-транзакции с надежной онлайн — безопасностью по низкой цене.

Читать также:  Подарочный сертификат для мужчины на день рождения купить нижний новгород

Один ssl сертификат на несколько поддоменов

Совместимость со всеми браузерами

SSL сертификаты выдаются доверенными центрами сертификации и распознаются всеми браузерами для десктопных компьютеров и мобильных устройств, поэтому посетители никогда не увидят предупреждающие уведомления о не доверенном SSL сертификате для данного домена.

Один ssl сертификат на несколько поддоменов

Проверка подлинности вашего домена, компании

Начиная со стандартных SSL сертификатов, перед выпуском сертификата необходимо пройти процедуру проверки домена. Сертификаты DV SSL с подтверждением домена доступны всем, как по цене, так и по выпуску сертификата. с подтверждением домена доступны всем, как по цене, так и по выпуску сертификата.

Технические параметры SSL — сертификатов

  • 15-дневный период тестирования;
  • Защищает две версии основного домена www.domain.com, так и domain.com;
  • 256-битное шифрование;
  • Неограниченные серверные лицензии;
  • Печать защиты сайта;
  • 99,9% совместимость со всеми основными браузерами;
  • Неограниченный и бесплатный перевыпуск сертификата в любое время;
  • Устанавливает безопасное соединение между браузером и сервером.

Часто задаваемые вопросы

В чем разница между сертификатом SAN и WIldcard?

Эти два типа схожи в своей универсальности. Какой же продукт приобрести для своего сайта, чтобы сохранить баланс функциональности и цены?
Мультидоменные SSL-сертификаты защищают как доменные имена, так и субдомены – это несомненный плюс. Но нужно заранее вводить имена ресурсов. Если в защите нуждается больше трех доменов и поддоменов, то остальные потребуют дополнительной платы. Если Вам нужно обезопасить только поддомены, лучше заказать Wildcard SSL, ведь он поддерживает до ста позиций без дополнительной платы.

Сертификат SAN (Subject Alternative Names) позволяет защищать несколько доменных имен верхнего уровня и поддоменов одним сертификатом. Вы можете взять сертификат для основного домена, скажем, domain.com и можете защитить:

domain.org
domain.net
mail.domain.com
payment.domain.com
info.domain.com
С другой стороны, Wildcard SSL — сертификат позволяет защищать неограниченное количетво поддоменов под одним доменным именем любого уровня. Если вы берете один Wildcard сертификат для *.domain.com, вы можете включить:

www.domain.com
news.domain.com
blog.domain.com
payment.domain.com
2.domain.com

Согласно руководству по выдаче сертификатов CA / Browser от 1 июля 2012 года, сертификат SAN не может быть выдан внутренним именам серверов.

Как защитить несколько доменов, используя один сертификат SSL?

Несколько веб-сайтов могут быть защищены с помощью одного Мультидоменного (SAN) SSL — сертификата. При покупке сертификата SSL у вас будет расширение SAN, которое позволит вам добавить доменные имена, которые будут защищены этим сертификатом.

Что такое Мультидоменный SSL — сертификат?

Мультидоменный SSL-сертификат — это один сертификат для защиты нескольких доменов (FQDN) на одном сервере. Это сертификат экономит денеги и время, также известный как SAN (Subject Alternative Names) SSL-сертификат. Это позволяет защитить до 100 доменов и / или поддоменов в течение жизненного цикла сертификата.

Что такое поле «Альтернативное имя субъекта» (SAN)?

Поле Subject Alternative Name позволяет вам добавить дополнительные общие имена, которые должны быть защищены с помощью мультидоменного SSL — сертификата.

Сертификат SAN SSL снижает необходимость управления несколькими сертификатами и позволяет защитить несколько веб-сайтов одним сертификатом. Сертификат включает опцию SAN, где вы можете разместить доменные имена, которые вам нужно защитить. Управление несколькими сертификатами может быть сложной задачей, так как установка, продление, истечение срока действия, переиздание сертификата являются основными компонентами, которыми необходимо управлять. Сертификат SAN позволяет избавиться от препятствий, связанных с несколькими сертификатами, и предлагает простое и единое управление сертификатами.

Где я могу увидеть Альтернативные имена субъектов (SAN)?

Какие клиенты SSL поддерживают Альтернативные имена субъектов?

Сертификат SAN обеспечивает более 99% совместимости с браузерами; он поддерживается всеми мобильными браузерами. Десктопные браузеры, такие как Firefox, Internet Explorer, Opera, Safari, Microsoft Edge, Netscape, Chrome.

Один ssl сертификат на несколько поддоменов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *