Несколько SSL на одном домене?

Question

[De YURII]

Можно ли "запихнуть" несколько сертификатов в один файл на nginx?
Какой в этом смысл?
У меня 2 домена, sub1.example.com и sub2.example.com, раньше они работали отдельно, теперь за 2 сабдомена отвечает один домен example.com (другими словами: 2 саба генерируются динамически). У меня есть для них 2 сертификата, на эти домены, собственно вопрос: нужно ли покупать WILD или 2 сертификата можно прописать в один на главном домене example.com?

Comments

[Максим Федоров]

у Let's Encrypt появился Wild — возьмите его и не парьтесь

[De YURII]

Максим Федоров, меня интересует именно эта возможность, покупать или брать бесплатно Let's WILD это условности. Вопрос стоит принципиально.

Answer 1

[ky0]

Бывают сертификаты, выданные на несколько доменных имён (тот же LE так умеет).

В один файл несколько сертификатов "запихнуть" можно, но это делается для предоставления следующих в цепочке доверия сертификатов, а не дополнительных для других доменов.

То, что у вас что-то генерируется динамически не меняет сути дела - доменное имя в сертификате должно совпадать с открываемым в браузере, иначе получите ошибку.

Answer 2

[key don]

Либо на разные домены отдаете разные сертификаты(SNI).
Либо должен быть один сертификат на несколько перечисленных доменов/wildcard.

Answer 3

[CityCat4]

Один сертификат может заверять несколько самых разнообразных имен. Называется это SAN - Subject Alternative Name и задаются они при создании запроса на сертификат. Изменить что-либо в сертификате нельзя. Обьединять два сертификата в один файл в Вашем случае бессмысленно - обьединяют их, когда необходимо, чтобы для проверки правильности сертификата в одном файле находился сертификат и все сертификаты CA, выдавших его вплоть до корневого.
Не знаю, как это делает LE, но в обычных CA указывается, что сертификат поддерживает SAN, а в собственном CA понятно , что Вы сами воротите что хотите.

Comments

[De YURII]

Я нашел выход Comodo PositiveSSL Multi-Domain Wildcard Я так понял этот сертификат даст возможность объединить несколько WILD в один. Поправьте если я не прав?

[ky0]

DARWIN Yuri, вы не правы. Ещё раз - уже созданные сертификаты любого типа нельзя "объединять". Либо вы ПРИ ВЫПУСКЕ перечисляете нужные доменные имена и тогда один сертификат можно использовать для всех них, либо для каждого поддомена используете отдельный.

[CityCat4]

DARWIN Yuri, Нет. Сертификат - законченный субьект. Цифровой аналог запаянной со всех сторон прозрачной банки - можно подробно рассмотреть, что внутри, но поменять невозможно, не повредив. Изменится ли что от того, что Вы сложите в контейнер несколько таких банок? Ровно ничего.
Поддержка некоторого числа доменных имен задается только при выпуске сертификата, только через SAN и только в тех CA, которые заявляют такое.