Можно ли использовать SSL сертификат основного домена для поддоменов на стороннем сервере?

Question

[blabs]

разрабатываем софт для клиента. У клиента есть основной домен, разработанный софт будет размещаться на поддомене. Нам важно, чтобы на поддомене работал SSL сертификат и поддомен запускался через https.

подскажите,
1. если у основного домена, к примеру example.ru, есть SSL сертификат и он доступен по https, будет ли этот SSL сертификат распространяться и на все поддомены, к примеру usb.example.ru, этого домена?
2. если поддомены будут расположены на другом сервере, будет ли SSL сертификат работать?
3. в случае размещения поддомена на другом сервере какие настройки нужно сделать для того, чтобы SSL сертификат работал и на этот поддомен?
как выглядит процедура получения SSL сертификата для основного домена и поддоменов если это требуется?
4. если мы являемся разработчиками, а правообладателем домена является клиент, как мы можем получить SSL сертификат для поддомена?
буду признателен за обратную связь.

Answer 1

[CityCat4]

1. Только, если это оговорено заранее. Такие сертификаты называются wildcard. Но следует иметь в виду, что wildcard-сертификат не распространяется на корневой домен. То есть сертификат, выданный на *.server.net, для самого server.net - не подойдет.
2. Если сертификат физически на другом сервере - нет.
3. Если каждый поддомен на отдельном сервере - нужно получать по сертификату на каждый поддомен
4. Очень сильно зависит от того, сертификат с какой проверкой запросите. Если с минимальной - там хоть кто может его получить. Если с подтверждением - то такой сертификат лучше получать самому заказчику.

Answer 2

[UlitkaRUS]

1. Нет, если сертификат не Wildcard;
2. На другом сервере потребуется установка сертификата;
3. Сертификат должен защищать желаемый поддомен явно или быть wildcard-сертификатом;
4. Получить сертификат dv-типа можно не будучи правообладателем, если есть доступ к управлению доменом или поддоменом, для этого достаточно разместить на хостинге проверочный файл, сформированный удостоверяющим центром.

Answer 3

[Андрей Михалёв]

1. нет. обычно сертификаты выдаются только на один домен (иногда выдают на домен и www.домен)
2. нет, смотри пункт 1. нужно делать отдельные сертификаты. перенести публичный и закрытый ключ на другой сервер не проблема, главное чтобы сертификаты были выпущены для этого домена/поддомена, где они расположены не играет никакой роли.
3. нужно сначала определиться какие нужны сертификаты. если хватит и бесплатно, то смотрите в сторону https://letsencrypt.org/ например.
4. сможете, вы же контактируете с правообладателями в любом случае =)

Comments

[blabs]

Андрей, сертификат нужен самый простой. Мы планируем интегрировать web push, а для этого нужно иметь https. Что может посоветовать нам?

[Андрей Михалёв]

blabs: https://letsencrypt.org/ , выдается на 90 дней, можно настроить автоматическое обновление по cron, и можно будет просто забыть про него.

[Ульрих]

Андрей Михалёв, Вы не поняли вопрос и даете неправильные ответы. Он спрашивает про субдомены, а не про другие домены

[blabs]

Андрей Михалёв: как выглядит процедура получения бесплатного сертификата? Она аналогична платной процедуре или в упрощенном виде? Мы сможем получить сертификат без привлечения клиента к этому вопросу имея доступ к серверу, где привязан поддомен?

[blabs]

Андрей Михалёв: У нас есть почта на субдомене, есть доступ к серверу, где расположен субдомен. Сможем ли мы с этим набором самостоятельно получить SSL сертификат?

[Андрей Михалёв]

Ульрих: все могут ошибаться

[Андрей Михалёв]

blabs: https://habrahabr.ru/post/301558/

[Lynn «Кофеман»]

1. В общем случае неверно. В сертификате может быть несколько доменных имён, причём совершенно несвязанных. Вот, например, список имён в сертификате главной страницы Яндекса:

DNS Name: xmlsearch.yandex.ua
DNS Name: yandex.net
DNS Name: images.yandex.ru
DNS Name: xmlsearch.yandex.com.tr
DNS Name: family.yandex.com.tr
DNS Name: people.yandex.kz
DNS Name: m.yandex.kz
DNS Name: xmlsearch.yandex.com
DNS Name: play.yandex.com.tr
DNS Name: gorsel.yandex.com.tr
DNS Name: images.yandex.com
DNS Name: aile.yandex.com.tr
DNS Name: m.yandex.ua
DNS Name: game.yandex.com.tr
DNS Name: video.yandex.ua
DNS Name: yandex.com.tr
DNS Name: video.yandex.ru
DNS Name: yandex.kz
DNS Name: video.yandex.com.tr
DNS Name: m.yandex.ru
DNS Name: www.yandex.ua
DNS Name: www.yandex.kz
DNS Name: games.yandex.com.tr
DNS Name: m.yandex.com
DNS Name: yandex.ua
DNS Name: yandex.by
DNS Name: images.yandex.ua
DNS Name: xmlsearch.yandex.kz
DNS Name: m.yandex.by
DNS Name: www.yandex.ru
DNS Name: video.yandex.com
DNS Name: video.yandex.by
DNS Name: oyun.yandex.com.tr
DNS Name: xmlsearch.yandex.ru
DNS Name: people.yandex.by
DNS Name: people.yandex.ru
DNS Name: images.yandex.kz
DNS Name: www.yandex.com
DNS Name: yandex.com
DNS Name: m.yandex.com.tr
DNS Name: images.yandex.com.tr
DNS Name: www.yandex.com.tr
DNS Name: xmlsearch.yandex.by
DNS Name: people.yandex.ua
DNS Name: yandex.ru
DNS Name: www.yandex.by
DNS Name: video.yandex.kz
DNS Name: images.yandex.by

[Max Kostikov]

Про Let's encrypt возможно будет полезна статья
https://kostikov.co/post/poluchaem-i-obnovlyaem-ss...

[Андрей Михалёв]

Алексей Тен: давайте будем реалистами, и не будем сравнивать крупные компании, с компанией у которой было только 1 доменное имя и сертификат к нему. если бы вопросы были общими и конкретными можно было бы меня поучить и ткнуть носом - мол не прав я. в данном конкретном случае - сертификата на поддомены (кроме www) скорее всего нет.

Answer 4

[Max Kostikov]

Ульрих всё более или менее верно написал.
Но есть ряд уточнений:
по п.3 - Let's encrypt позволяет добавлять и удалять домены из сертификата после его выдачи;
по п.4 - обычный сертификат на требует сложных проверок и вам будет достаточно лишь удостоверить ваше управление веб-сервером, где размещается сайт под именем домена your.domain, для которого запрашивается сертификат, либо иметь доступ к почтовой запиcи postmaster@your.domain (hostmaster, webmaster).

Answer 5

[Виктория]

1. Зависит от типа сертификата на основном домене.
а) Если это типовой Comodo PositiveSSL или аналоги -нет, не будет. Т.к. они рассчитаны на защиту одного домена любого вида.
б) Если это WildCard - защищен будет основной домен и поддомен на 1 уровень "вглубь"(если так можно выразиться). Например:
Основной домен: ромашка.ру,
Поддомены: моя.ромашка.ру, твоя.ромашка.ру и т.д.

Основной домен: моя.ромашка.ру
Поддомены: почта.моя.ромашка.ру, база.моя.ромашка.ру и т.д.

в) Если это Multidomain сертификат, то будут защищены все необходимые домены и поддомены, единственное, что каждый поддомен придется указывать как самостоятельный домен. Это будет затратно и не выгодно. Т.к. в стоимость сертификата обычно входит только 2 или 3 защищаемых домена, за каждый дополнительный придется доплачивать.

Уточнение: RapidSSL Wildcard будет работать только в случае если основной домен вида: ромашка.ру. К остальным поставщикам сертификатов это не относится.

2. Будет работать Wildcard. Необходимо будет установить его на все серверы, где расположены домен и поддомены.
3. При формирования заказа на сертификат, если типовой сертификат Comodo PositiveSSL, то просто заказывать на домен и каждый поддомен отдельный сертификат. Если Wildcard, то при формирования заказа указать домен и все поддомены.
4. Заказ на сертификат можете сделать и вы, если вы будете являться контактным лицом и у вас есть доступ к необходимым почтовым ящикам и информации о компании. Владельцем сертификата в любом случае будет клиент.

Answer 6

[Sue Bass]

Here is my feedback:

1. If you have taken Wildcard SSL certiifcate or Multi domain SSL certiifcate then you can enable that SSL certificate only to sub domains of the main domain.
   
   
2. If that Wildcard SSL certificate has feature of unlimited server license then yes sub domains are located on another server can also be secured.
   
   
3. You will have to just copy private key to each server.
   
   
4. Either you can directly order the ssl certificate or you give advice to client to purchase it.