প্রতিটি সাবডোমেনের এটির নিজস্ব এসএসএল শংসাপত্র প্রয়োজন?


41

আমি একটি ওয়েবসকেট সার্ভার তৈরি করছি যা চালু থাকবে ws.mysite.example। আমি চাই ওয়েব সকেট সার্ভারটি এসএসএল এনক্রিপ্ট হওয়ার পাশাপাশি domain.exampleএসএসএল এনক্রিপ্ট হওয়া হোক। আমি তৈরি প্রতিটি সাবডোমেনের জন্য আমার কি নতুন শংসাপত্র কেনার প্রয়োজন? আমি তৈরি প্রতিটি সাবডোমেনের জন্য আমার কি ডেডিকেটেড আইপি ঠিকানা দরকার? আমার সম্ভবত একাধিক সাবডোমেন থাকবে।

আমি উবুন্টুতে এনজিআইএনএক্স এবং গ্যানিকর্ন চালাচ্ছি।

উত্তর:


44

আমি এর উত্তর দুটি পদক্ষেপে দেব ...

আপনার কি প্রতিটি সাবডোমেইনের জন্য একটি এসএসএল সার্ট দরকার?

হ্যাঁ এবং না, এটি নির্ভর করে। বলুন, আপনার মানক এসএসএল শংসাপত্রটি একক ডোমেনের জন্য হবে www.domain.example। বিভিন্ন ধরণের শংসাপত্র রয়েছে যা আপনি স্ট্যান্ডার্ড একক ডোমেন শংসাপত্র: ওয়াইল্ডকার্ড এবং একাধিক ডোমেন শংসাপত্রগুলি বাদ দিতে পারেন

  • একটি ওয়াইল্ড কার্ড যা নিশ্চিতভাবে ঘটবে মত কিছু জন্য জারি করা হবে *.domain.exampleএবং ক্লায়েন্ট যেকোনো ডোমেন যে সঙ্গে প্রান্ত জন্য বৈধ হিসাবে এই বিবেচনা করবে domain.exampleযেমন www.domain.exampleবা ws.domain.example

  • একটি বহু ডোমেইন Cert ডোমেন নামগুলির একটি পূর্বনির্ধারিত তালিকা জন্য বৈধ। এটি শংসাপত্রের সাবজেক্ট বিকল্প নাম ক্ষেত্রটি ব্যবহার করে এটি করে। উদাহরণস্বরূপ, আপনি কোনও সিএকে বলতে পারতেন যে আপনি domain.exampleএবং এর জন্য একটি মাল্টি ডোমেন শংসাপত্র চান ws.mysite.example। এটি এটিকে উভয় ডোমেন নামের জন্য ব্যবহার করার অনুমতি দেবে।

যদি এই বিকল্পগুলির কোনওটিই আপনার পক্ষে কাজ করে না, তবে আপনার দুটি পৃথক এসএসএল শংসাপত্র থাকা দরকার।

প্রতিটি সাবডোমেনের জন্য আমার কি ডেডিকেটেড আইপি দরকার?

আবার এটি হ্যাঁ এবং না ... এটি সব আপনার ওয়েব / অ্যাপ্লিকেশন সার্ভারের উপর নির্ভর করে। আমি একটি উইন্ডোজ লোক, তাই আমি আইআইএস এর উদাহরণ দিয়ে উত্তর দেব।

  • আপনি যদি আইআইএস 7 বা তার চেয়ে বেশি বয়স্ক চলমান থাকেন তবে আপনাকে এসএসএল শংসাপত্রগুলি একটি আইপিতে আবদ্ধ করতে বাধ্য করা হবে এবং আপনার একক আইপিতে একাধিক শংসাপত্র বরাদ্দ করা যাবে না। আপনি যদি প্রতিটি সাবডোমেনের জন্য ডেডিকেটেড এসএসএল সার্টি ব্যবহার করে থাকেন তবে প্রতিটি সাবডোমেনের জন্য আপনার আলাদা আইপি থাকা দরকার। আপনি যদি কোনও মাল্টি ডোমেন শংসাপত্র বা ওয়াইল্ডকার্ড শংসাপত্র ব্যবহার করে থাকেন তবে আপনি কেবলমাত্র একটি এসএসএল শংসাপত্র শুরু করার কারণে আপনি একক আইপি দিয়ে পালাতে পারবেন।

  • আপনি যদি আইআইএস 8 বা তার পরে চালিয়ে যাচ্ছেন তবে একই জিনিসটি প্রযোজ্য। যাইহোক, আইআইএস 8 + এর মধ্যে সার্ভার নেম ইন্ডিকেশন (এসএনআই) নামক কোনও কিছুর জন্য সমর্থন অন্তর্ভুক্ত রয়েছে। এসএনআই আপনাকে কোনও হোস্টনেমে কোনও এসএসএল শংসাপত্র আবদ্ধ করতে দেয়, কোনও আইপি নয়। সুতরাং অনুরোধটি করার জন্য ব্যবহৃত হোস্টনাম (সার্ভার নাম )টি অনুরোধের জন্য কোন এসএসএল সার্টিফিকেট ব্যবহার করা উচিত তা নির্দেশ করতে ব্যবহৃত হয়।

  • আপনি যদি একটি একক আইপি ব্যবহার করেন তবে নির্দিষ্ট ওয়েবসাইটের নামগুলির জন্য অনুরোধের প্রতিক্রিয়া জানাতে আপনি ওয়েবসাইটগুলি কনফিগার করতে পারেন।

আমি জানি যে অ্যাপাচি এবং টমক্যাটেরও এসএনআইয়ের পক্ষে সমর্থন রয়েছে, তবে কোন সংস্করণগুলি এটি সমর্থন করে তা জানতে আমি তাদের যথেষ্ট পরিচিত নই।

শেষের সারি

আপনার অ্যাপ্লিকেশন / ওয়েব সার্ভারের উপর নির্ভর করে এবং আপনি কী ধরণের এসএসএল শংসাপত্রগুলি পেতে সক্ষম হবেন তা আপনার বিকল্পগুলি নির্দেশ করবে।


আমি উবুন্টুতে গ্যানিকর্ন এবং এনগিনেক্স ব্যবহার করছি।
ব্যবহারকারী 974407

সেক্ষেত্রে, এসএনআই উপলব্ধ হওয়া উচিত যতক্ষণ না ওপেনএসএসএল (এনজিনেক্সের জন্য) এসএনআই সমর্থন মেনে চলছিল। গোম্যাক্সের উত্তরের লিঙ্ক অনুসারে।
pkeenan

কিছু একক সাব-ডোমেন শংসাপত্রগুলি একটি বিকল্প হিসাবে প্রধান ডোমেনকে তালিকাবদ্ধ করে, যাতে আপনি খুঁজে পেতে পারেন যে কোনও আইপি ঠিকানায় আপনি একটি সার্টে www.domain.com এবং ডোমেইন ডটকম করতে পারেন। এসএনআই বিবেচনা করার সময় আপনার টার্গেট শ্রোতাদের বিবেচনা করার বিষয়ে সতর্কতা অবলম্বন করুন: এক্সপিতে আইই এটি সমর্থন করে না যা কিছু কর্পোরেট ব্যবহারকারীদের সাথে আপনাকে প্রভাবিত করবে, না স্টক অ্যান্ড্রয়েডের মতো কিছু পুরানো মোবাইল ব্রাউজারগুলি অন্তত ২.৩.৫ অবধি যা আপনাকে বিবেচনা করা উচিত যদি আপনি মোবাইল ডিভাইসগুলিকে লক্ষ্য করে থাকেন (এখানে পুরানো সংস্করণ চলছে এমন অনেকগুলি অ্যান্ড্রয়েড ডিভাইস রয়েছে)।
ডেভিড স্পিলিট

@pkeenan - এটি ভাল হবে যদি উত্তর প্রযুক্তিগত বৈশিষ্ট্য প্রতিফলিত আপডেট করা হয়েছে যে সমর্থন হোস্টনেইম এবং ডোমেনগুলির হোস্টনেইম ছাড়া - helpdesk.ssls.com/hc/en-us/articles/...
প্রেরণা দ্বারা উদ্দীপ্ত

> ক্লায়েন্টরা এটিকে 'ডোমেইন ডটকম', যেমন 'www.domain.com' বা 'ws.domain.com' এর সাথে শেষ হওয়া কোনও ডোমেনের জন্য বৈধ হিসাবে বিবেচনা করবে। এটি আমাকে বিশ্বাস করতে পরিচালিত করে যে এটির জন্যও বৈধ হবে, তাও কি abc.def.domain.com?
জেফ

7

আপনি প্রতিটি সাবডোমেনের জন্য একটি শংসাপত্র, একাধিক সাবডোমেন শংসাপত্র বা ওয়াইল্ডকার্ড শংসাপত্র (এর জন্য *.yoursite.example) পেতে পারেন।

যদিও নিয়মিত শংসাপত্রগুলির তুলনায় এগুলির জন্য সাধারণত কিছুটা বেশি ব্যয় হয় এবং আপনি কোনও একক শংসাপত্র ভাগ করে নেওয়ার কারণে সুরক্ষা দৃষ্টিকোণ থেকে এগুলি সাধারণত সেরা বিকল্প নয় যদি আপনি কোনও anything.mydomain.exampleধরণের অ্যাপ্লিকেশন হোস্ট না করেন যেখানে তারা একমাত্র কার্যক্ষম পছন্দ।

আপনার যদি এসএনআই-সক্ষম ওয়েব সার্ভার থাকে তবে আপনার একাধিক আইপি ঠিকানাও প্রয়োজন হবে না । এটি বলেছে, এসএনআই কেবলমাত্র আধুনিক ব্রাউজারগুলিতে সমর্থিত (আই 6 এবং নীচে এটির সাথে কাজ করবে না)। এনগিনেক্স এবং অ্যাপাচি এর সাম্প্রতিক সংস্করণগুলি এসএনআইকে স্বচ্ছভাবে সমর্থন করে (কেবল এসএসএল সক্ষম ভার্চুয়াল হোস্ট যুক্ত করুন)।


"সুরক্ষার দিক থেকে সেরা বিকল্প নয়" বলতে কী বোঝায়?
অনুপ্রাণিত

4
আপনার সমস্ত হোস্টের জন্য ভাগ করা একটি একক শংসাপত্র শংসাপত্রের যে কোনও সাব-ডোমেন শংসাপত্রের সাথে সংযুক্ত ছিল কেবল তা প্রভাবিত করার পরিবর্তে কোনও শংসাপত্রের কোনও লঙ্ঘনকে একটি ডোমেন-স্তরের সুরক্ষা হুমকিতে পরিণত করে। উদাহরণস্বরূপ, www.yoursite.com এর জন্য ব্যবহৃত শংসাপত্রটি যা ওয়ার্ডপ্রেস ইনস্টল হয় সেটি হল পেমেন্টস.ইউরসাইট ডটকমের মতো যা একটি সুরক্ষিত ক্রেডিট কার্ড প্রসেসিং অ্যাপ্লিকেশন। প্রথম ফুটো হলে, দ্বিতীয়টি আপোস করা হয়।
গমোকএক্স

0

হয় প্রতিটি সাবডোমেনের জন্য আপনার আলাদা আলাদা শংসাপত্রের প্রয়োজন হবে, অথবা আপনি একটি ওয়াইল্ডকার্ড শংসাপত্র কিনতে পারবেন *.domain.example- আরও ব্যয়বহুল, তবে আপনি যদি প্রচুর সাবডোমেন হোস্ট করছেন তবে তা বোঝা যায়।

আইপি সম্পর্কিত, এটি নির্ভর করে আপনি কীভাবে আপনার সার্ভারটি সেট আপ করবেন। আপনি একই আইপি থেকে একাধিক সাইট পরিবেশন করতে হোস্টনামের বিধিগুলি ব্যবহার করতে পারেন বা প্রত্যেকটির জন্য স্বতন্ত্র আইপি ব্যবহার করতে পারেন। উভয় পদ্ধতির পক্ষে মতামত রয়েছে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.