Cada subdomínio precisa de seu próprio certificado SSL?

Responderei isso em duas etapas ...

Você precisa de um certificado SSL para cada subdomínio

Sim e não, depende. Seu certificado SSL padrão será para um único domínio, digamos, "www.domain.com". Existem diferentes tipos de certs que você pode além do certificado de domínio único padrão: certs curinga e de domínio múltiplo.

Um certificado wild card será emitido para algo como '* .domain.com' e os clientes considerarão isso como válido para qualquer domínio que termine com 'domain.com', como 'www.domain.com' ou ' ws.domain.com '.

Um certificado de vários domínios é um certificado válido para uma lista predefinida de nomes de domínio. Isso é feito usando o campo Subject Alternative Name do certificado. Por exemplo, você poderia informar a uma autoridade de certificação que deseja um certificado de vários domínios para 'domain.com' e 'ws.mysite.com'. Isso permitiria que ele fosse usado para os dois nomes de domínio.

Se nenhuma dessas opções funcionar para você, você precisará ter dois certificados SSL diferentes.

Preciso de um IP dedicado para cada subdomínio

Mais uma vez, isso é um sim e não ... tudo depende do seu servidor web / de aplicativos. Eu sou um cara do Windows, então vou responder com exemplos do IIS.

Se você estiver executando o IIS7 ou mais antigo, será obrigado a vincular certificados SSL a um IP e não poderá ter vários certificados atribuídos a um único IP. Isso faz com que você precise ter um IP diferente para cada subdomínio se estiver usando um certificado SSL dedicado para cada subdomínio. Se você estiver usando um certificado de vários domínios ou um certificado curinga, poderá começar com o IP único, já que você só tem um certificado SSL para começar.

Se você estiver executando o IIS8 ou posterior, o mesmo se aplica. No entanto, o IIS8 + inclui suporte para algo chamado Server Name Indication (SNI). O SNI permite ligar um certificado SSL a um nome de host, não a um IP. Portanto, o nome do host (Nome do servidor) usado para fazer a solicitação é usado para indicar qual certificado SSL o IIS deve usar para a solicitação.

Se você usar um único IP, poderá configurar sites para responder a solicitações de nomes de host específicos.

Eu sei que o Apache e o Tomcat também têm suporte para SNI, mas eu não os conheço o suficiente para saber quais versões suportam isso.

Resultado final

Dependendo do seu aplicativo / servidor da Web e do tipo de certificado SSL que você pode obter, você ditará as opções.

Você pode obter um certificado para cada subdomínio, um certificado de vários subdomínios ou um certificado curinga (para *.yoursite.com ) .

Eles normalmente custam um pouco mais do que os certificados regulares, e como você compartilha um único certificado, eles normalmente não são a melhor opção do ponto de vista de segurança, a menos que você hospede um tipo de aplicativo anything.mydomain.com onde eles são os únicos. escolha viável.

Você também não precisa de vários endereços IP se tiver um servidor da Web habilitado para SNI . Dito isto, o SNI só é suportado em navegadores modernos (o IE6 e abaixo não funcionam com ele). Versões recentes do Nginx e do Apache suportam o SNI de forma transparente (basta adicionar hosts virtuais habilitados para SSL).

Você precisará de um certificado separado para cada subdomínio ou pode adquirir um certificado curinga (* .domain.com) - mais caro, mas faz sentido se hospedar muitos subdomínios.

Com relação aos IPs, isso depende de como você configura seu servidor. Você pode usar regras de nome de host para servir vários sites do mesmo IP ou usar IPs exclusivos para cada um. Existem prós e contras para ambos os métodos.