ฉันจะตอบคำถามนี้ในสองขั้นตอน ...
คุณต้องการใบรับรอง SSL สำหรับแต่ละโดเมนย่อยหรือไม่?
ใช่และไม่ใช่ขึ้นอยู่กับ ใบรับรอง SSL www.domain.example
มาตรฐานของคุณจะเป็นโดเมนเดียวบอกว่า มีหลายประเภทของ certs ที่คุณสามารถทำได้นอกเหนือจากใบรับรองมาตรฐานเดียวของโดเมน: wildcard และหลายโดเมน certs
ใบรับรองป่าการ์ดจะออกหาสิ่งที่ต้องการ*.domain.example
และลูกค้าจะปฏิบัติเช่นนี้เป็นที่ถูกต้องสำหรับโดเมนใด ๆ ที่ลงท้ายด้วยdomain.example
เช่นหรือwww.domain.example
ws.domain.example
ใบรับรองหลายโดเมนที่ถูกต้องสำหรับรายการที่กำหนดไว้ล่วงหน้าของชื่อโดเมน ทำได้โดยใช้ฟิลด์ Subject Alternative Name ของหนังสือรับรอง ตัวอย่างเช่นคุณสามารถบอก CA ที่คุณต้องการใบรับรองหลายโดเมนสำหรับและdomain.example
ws.mysite.example
สิ่งนี้จะช่วยให้สามารถใช้กับชื่อโดเมนทั้งสองได้
หากตัวเลือกเหล่านี้ไม่เหมาะกับคุณคุณจะต้องมีใบรับรอง SSL ที่แตกต่างกันสองรายการ
ฉันต้องการ IP เฉพาะสำหรับแต่ละโดเมนย่อยหรือไม่
อีกครั้งนี่คือใช่และไม่ใช่ ... ทุกอย่างขึ้นอยู่กับเว็บ / แอปพลิเคชันเซิร์ฟเวอร์ ฉันเป็นผู้ชาย Windows ดังนั้นฉันจะตอบด้วยตัวอย่าง IIS
หากคุณใช้ IIS7 หรือเก่ากว่าคุณจะถูกบังคับให้ผูก SSL certs กับ IP และคุณไม่สามารถกำหนด certs หลายรายการให้กับ IP เดียวได้ สิ่งนี้ทำให้คุณต้องมี IP ที่แตกต่างกันสำหรับแต่ละโดเมนย่อยหากคุณใช้ใบรับรอง SSL เฉพาะสำหรับแต่ละโดเมนย่อย หากคุณกำลังใช้ใบรับรองหลายโดเมนหรือรับรองตัวแทนคุณสามารถใช้ IP เดียวเพราะคุณมีใบรับรอง SSL เพียงหนึ่งรายการเท่านั้นที่จะเริ่มต้นด้วย
หากคุณใช้ IIS8 หรือใหม่กว่าจะมีผลเช่นเดียวกัน อย่างไรก็ตาม IIS8 + มีการรองรับสิ่งที่เรียกว่า Server Name Indication (SNI) SNI อนุญาตให้คุณผูกใบรับรอง SSL กับชื่อโฮสต์ไม่ใช่กับ IP ดังนั้นชื่อโฮสต์ (ชื่อเซิร์ฟเวอร์) ที่ใช้ในการทำการร้องขอจะถูกใช้เพื่อระบุ SSL certificate ที่ IIS ควรใช้สำหรับการร้องขอ
หากคุณใช้ IP เดียวคุณสามารถกำหนดค่าเว็บไซต์เพื่อตอบสนองการร้องขอชื่อโฮสต์ที่เฉพาะเจาะจง
ฉันรู้ว่า Apache และ Tomcat รองรับ SNI ด้วยเช่นกัน แต่ฉันไม่คุ้นเคยพอที่จะรู้ว่าเวอร์ชันใดรองรับได้บ้าง
บรรทัดล่าง
ขึ้นอยู่กับแอปพลิเคชัน / เว็บเซิร์ฟเวอร์ของคุณและประเภทของใบรับรอง SSL ที่คุณสามารถรับได้จะกำหนดตัวเลือกของคุณ