आपको एक subdomain (blog.example.com, api.example.com, staging.example.com) पर HTTPS चाहिए। तीन options हैं:
Option 1: Wildcard certificate (*.example.com)
एक certificate सभी subdomains को automatically cover करता है — future में बनाए जाने वाले subdomains सहित।
| Pros | Cons |
|---|---|
| Unlimited subdomains cover करता है | DNS-01 challenge जरूरी है (DNS access चाहिए) |
| New subdomains instantly काम करते हैं | सभी subdomains के लिए एक private key (shared risk) |
| सिर्फ 1 cert manage करना है | Nested subdomains (a.b.example.com) cover नहीं करता |
| Let’s Encrypt से free | Bare domain cover नहीं करता (separately example.com add करें) |
Best for: बहुत सारे subdomains, frequently new add करना।
*.example.com covers:
✅ www.example.com
✅ blog.example.com
✅ api.example.com
✅ staging.example.com
✅ anything.example.com
❌ example.com (separately add करें)
❌ sub.blog.example.com (nested)
Wildcard certificate कैसे लें →
Option 2: SAN certificate (specific subdomains list करें)
Certificate के Subject Alternative Name field में हर subdomain explicitly list करें।
| Pros | Cons |
|---|---|
| HTTP-01 challenge use कर सकते हैं (simpler) | हर subdomain explicitly list करना होगा |
| Different base domains mix कर सकते हैं | Subdomain add करने के लिए new certificate जरूरी |
| हर name individually validated | Let’s Encrypt limit: per cert 100 names |
| Let’s Encrypt से free | अगर subdomains frequently बदलते हैं तो ज्यादा management |
Best for: Small, fixed set of subdomains (2-5)।
SAN certificate exactly वही cover करता है जो आप list करें:
✅ example.com
✅ www.example.com
✅ blog.example.com
❌ api.example.com (अगर listed नहीं)
GetHTTPS में, बस अपनी जरूरत के सभी subdomains enter करें।
Option 3: हर subdomain के लिए separate certificate
हर subdomain को अपना certificate मिलता है।
| Pros | Cons |
|---|---|
| Maximum isolation (separate keys) | सबसे ज्यादा management overhead |
| Independent renewal schedules | Per subdomain एक cert track करना |
| एक compromise होने पर दूसरों पर effect नहीं | ज्यादा server configuration |
| Per subdomain HTTP-01 के साथ काम करता है |
Best for: Different teams द्वारा managed subdomains, या जब security isolation important हो।
Comparison table
| Wildcard | SAN | Separate | |
|---|---|---|---|
| Covered subdomains | All (unlimited) | सिर्फ listed | Per cert one |
| New subdomains | Automatic | Re-issue जरूरी | New cert जरूरी |
| Challenge type | सिर्फ DNS-01 | HTTP-01 या DNS-01 | HTTP-01 या DNS-01 |
| Certificates to manage | 1 | 1 | N |
| Security isolation | Shared key | Shared key | Separate keys |
| Cost (Let’s Encrypt) | Free | Free | Free |
| Best for | Dynamic subdomains | Fixed set (2-5) | Team isolation |
Common scenarios
”मेरे पास example.com और www.example.com है”
→ SAN certificate (simplest)। GetHTTPS में, दोनों names enter करें। यह सबसे common setup है।
“मैं www, blog, api, docs, staging subdomains run करता हूँ”
→ Wildcard (*.example.com + example.com)। सभी current और future subdomains cover करता है।
“हर subdomain एक different client की site है”
→ Separate certificates। हर client अपना manage करता है। एक compromise होने पर दूसरों पर effect नहीं।
“मेरे पास example.com + example.org + subdomains हैं”
→ SAN certificate जो domains + wildcard combine करता है: example.com, *.example.com, example.org। GetHTTPS इसे support करता है।
FAQ
क्या *.example.com खुद example.com को cover करता है?
नहीं। Bare domain separately list करना होगा। GetHTTPS में, *.example.com और example.com दोनों add करें। Details →
क्या एक certificate में wildcard और specific domains mix कर सकते हैं?
हाँ। एक ही Let’s Encrypt certificate में SAN entries के रूप में *.example.com, example.com, और other.com include हो सकते हैं। Per certificate 100 names तक।
कौन सा option सबसे सस्ता है?
GetHTTPS के through Let’s Encrypt के साथ तीनों free हैं। कुछ commercial CAs wildcards ($200-500/year) और per-SAN ($10-50 each) के लिए extra charge करते हैं। Let’s Encrypt के साथ, cost कभी factor नहीं।
मेरा subdomain एक different server पर है। क्या same certificate use कर सकता हूँ?
हाँ। दोनों servers पर same fullchain.pem और privkey.pem install करें। Certificate को पता नहीं कि वो किस server पर है — यह सिर्फ domain name validate करता है।