SSL: ¿Es un certificate de SAN lo que necesito?

Tengo 3 aplicaciones web ( api , app y admin ) que quiero proteger con SSL y necesito un certificate. No estoy seguro de qué certificate necesito, así que trataré de describir lo que tengo, esperando que alguien aquí pueda ayudar.

Pocos detalles:

  • Todas son aplicaciones HTTP, algunas ( api ) son API basadas en JSON y algunas ( app y admin ) son aplicaciones regulares basadas en HTML.
  • Todos están desplegados actualmente en Heroku. Esto podría cambiar en el futuro (en caso de que importe)
  • Todos se despliegan "dos veces" – prod / stage. Significado – Tengo los siguientes dominios en DNS: app.domain.com , api.domain.com , admin.domain.com , app.stage.domain.com , api.stage.doamin.com , admin.stage.domain.com com
  • Quiero forzar HTTPS a todas las aplicaciones (hechas en el server web)
  • Excepto el dominio de nombre de empresa, también debemos los dominios de nombres de marca y quiero hacerlos alias (a nivel de DNS). Por lo tanto, la misma aplicación (con HTTPS) debería estar disponible en app.domain.com y app.brand1.com

Sé que para todas las aplicaciones de la etapa básicamente puedo utilizar un certificate autofirmado. Si ya necesito un certificate de dominio múltiple, ¿hay alguna razón para no usarlo para la etapa también?

¿Son los certificates SAN lo que necesito aquí? He visto Digicert Unified Communications que permite 25 dominios en un certificate (que es más que suficiente para mí). ¿Es ese el tipo de certificate que necesito para un server web? (sólo mencionan productos de comunicaciones como el intercambio en su página).

Si compro un certificate SAN – ¿Cómo funciona el logging? ¿Debo "elegir" uno de los dominios para ser el FQDN "primario" y los otros son sólo alternativas? Si el usuario va a brand1.com, ¿sabe que es un dominio alternativo?

Y alguna otra pregunta (de alguna manera relacionada) – necesito la validation del negocio para el certificate. El nombre de la empresa del dominio está registrado en whois por la propia empresa y tenemos los documentos oficiales, así que supongo que no habrá un problema allí. Los nombres de las marcas dominios también están registrados por la empresa (en whois), pero no los hemos registrado como marcas registradas o algo así. ¿Tiene eso algún problema? ¿Cómo encaja DigiCert con la marca en este caso?

Suena como SANs certs funcionará bien en su caso. Sin embargo, hay que mencionar algunas cosas:

  • Si desea utilizar el nombre DNS alias para su nombre de dominio de segundo nivel, tendrá que get certificates SAN nuevos para estos alias.
  • Consecuencia de lo anterior, tendrá que utilizar diferentes direcciones IP para los alias (aunque todos pueden estar vinculados a la misma fuente).
  • Cuando utiliza alojamiento compartido, diferentes proveedores de alojamiento tienen procedimientos diferentes para gestionar certificates. Algunos son muy flexibles y le permiten utilizar cualquier certificate que le interesa proporcionar (siempre y cuando también proporcionar la key privada correspondiente, por supuesto) algunos le obligará a pasar por su procedimiento que hace que recuperar la key privada si desea mover más tarde bastante difícil (o imposible).
  • Cuando registra una nueva SAN, normalmente escoge el nombre "base" y luego agrega todos los alias necesarios. Realmente no importa cuál es el nombre base porque el cliente compatible con SAN ignorará el campo Subject.CommonName y utilizará únicamente la SAN.
  • El usuario final recibirá el certificate X509 con la connection y puede examinarlo. Si lo hacen, verán todas las SAN en ese certificate.