Pot face https pe unele domenii, dar nu pe toate pe site-ul meu?

Am două site-uri (home server și linode VPS) și am câteva subdomenii ale unui domeniu pe un site și unele pe celălalt. Mai am două sau trei alte domenii pe ambele servere. În prezent folosesc Apache VirtualHost pe ambele site-uri. Niciunul dintre ei nu utilizează în prezent https.

Este posibil să începeți lansarea https câte un subdomeniu la un moment dat sau este totul sau nimic? Trebuie să folosesc un front end precum nginx sau pot face totul în Apache?

Puteți „începe să rulați câte un subdomeniu odată”. Dar nu puteți restricționa portul HTTPS 443 să fie deschis doar pentru unele dintre domeniile virtuale dacă aveți un IP pentru toate.

Gazdele virtuale bazate pe nume servesc diferite site-uri web bazate pe antetul Host HTTP. Acum aveți HTTP, când introduceți „example.com” în browser, acesta se conectează la IP-ul dvs. și adaugă un Gazdă: example.com în anteturile cererii.În acest fel, serverul web se potrivește cu gazda virtuală cunoscută sau pur și simplu se ocupă de gazdă virtuală implicită dacă este necunoscută (de exemplu, dacă tastați direct un IP în browser).

Acum, pentru partea HTTPS, este puțin diferit. Deoarece conexiunea securizată TLS trebuie stabilită înainte ca anteturile HTTP să fie trimise. Deci, serverul web de fapt nu a putut ști ce certificat să prezinte. Fie example1.com sau example2.com (de exemplu). Pe vremuri, asta însemna că era permis un singur site HTTPS valid pe IP (ei bine, certificatul cu mai multe domenii ar putea funcționa, dar nu îmi amintesc că nicio CA le-a permis). i.e. fără gazde virtuale. Dar din fericire pentru TLS SNI extensie care funcționează similar cu HTTP. Cu excepția faptului că, în locul antetelor HTTP, numele de domeniu sunt transmise în informațiile despre sesiunea TLS.

Acum, având în vedere acest lucru, odată ce ați activat SSL pentru un site web exemplu1.com, și a generat un certificat pentru acesta, dacă tastați https://example2.com chiar s-ar deschide exemplu1.com site-ul web (pentru că este singura gazdă virtuală pentru ascultătorul HTTPS), dar și browserul s-ar plânge că site-ul web prezintă certificat pentru domeniul greșit (deoarece serverul dvs. web nu are atât certificatul de exemplu2.com, cât și gazda virtuală pentru el).

Pentru a evita această confuzie, prefer să vă sugerez să testați și să pregătiți mai întâi toate certificatele și configurațiile pentru site-urile dvs. Și apoi activați-le pe toate odată. Cel puțin dacă le găzduiești pe toate pe același IP. Dacă aveți IP-uri diferite pentru ele, presupun că înțelegeți că puteți activa HTTP pentru separat, pe baza declarațiilor de mai sus.

Pentru suport SSL în Apache, va trebui să configurați un VirtualHost pe portul 443 pentru fiecare site, astfel încât să o puteți face câte un subdomeniu odată. Vedea Apache TLS/SSL Cum se face