web-dev-qa-db-ja.com

DNSとSSLの場合、(DNS RR)レコードごとに個別の証明書が必要ですか?

したがって、私たちの会社は、クラウドサーバーを別々の環境に分離したいと考えています。つまり、www.example.com、test.example.com、およびdev.example.comです。 [サブドメインをさらにサブドメインに分割したい場合もあります。]上司は、会社が必要とする証明書(SSL用)の数を知りたがっています。

私はサブドメインを掘り下げましたが、DNS RR(ドメインネームサーバーリソースレコード)の質問のようです。 AレコードとCNAMEレコード、およびそれらがどのように相互作用するかについてのメモを見てきました。名前空間を分離するには、AレコードとCNAMEレコードを組み合わせれば十分だと思います。

ただし、どの証明書が必要ですか?すべてのAレコードにSSL証明書が必要ですか?私の上司は(すべての上司がそうであるように)コストを削減することに熱心です。

2
S Meaden

サーバーの1つが想定するIDごとに(つまり、サーバーがそれ自体を識別する名前ごとに)、そのIDに一致する証明書が必要になります。 IDは必ずしもDNSエントリと同じである必要はありませんが、そうである場合(Webサーバーなど)、エントリがCNAMEレコードであるかA(またはAAAA)レコードであるかは関係ありません。

理解を少し複雑にするために、IDごとに異なる証明書は必ずしも必要ではありません。 1つの証明書で多くのID(1つのプライマリと複数の代替)を証明できます。また、特定のドメインの任意のサブドメインに使用できる、いわゆるワイルドカード証明書もあります(たとえば、*。example.comのワイルドカード証明書がある場合)。 、証明書に明示的にリストされている2つの名前がなくても、www.example.comおよびanythingyouwant.example.comに使用できます)。ただし、ワイルドカード証明書は通常の証明書よりも高価です。通常の証明書は通常数十ドルかかりますが、ワイルドカード証明書は通常数百ドルかかります。特定の制限付きで無料の通常の証明書を提供する認証局がいくつかあることに注意してください(たとえば、StartComの基本的な StartSSL 証明書は無料ですが、2つの名前しか含めることができず、そのうちの1つはルートである必要がありますドメイン)。

あなたの例では、3つのIDがあります(これらはwww.foo.com、test.foo.com、およびdev.foo.comです)。今のところ、3つの無料の証明書を取得することをお勧めします。 20〜30の異なる証明書が必要になる場合は、ワイルドカード証明書の購入を検討する必要があります。毎年20〜30の有効期限が切れる証明書を手動で更新する必要があるため、そのコストはそれよりも高くなるためです。ワイルドカード証明書の。

3
Gergő Ládi