Iis

域和子域 - 對兩個域使用相同的 ip 和 ssl 證書和 san?

  • September 9, 2013

我有一個帶有 SSL 證書的網站。現在我需要添加另一個站點,也使用 HTTPS。

似乎可以通過使用另一個埠為 HTTP 和 HTTPS 流量創建新站點的綁定來實現。我想避免這種情況,因為由於安全策略,在防火牆中添加例外是一個漫長的過程。

我認為可以繞過添加新埠的方法是將站點添加為子域,然後更改 SSL 證書以具有與新子域匹配的附加 SAN 名稱。

我嘗試在我的本地機器上對此進行測試,但是在兩個站點上添加了帶有證書的 443 埠後,編輯主機文件以包含子域,然後將子域作為主機名添加到新的 iis 網站。只有一個站點可以啟動,另一個站點抱怨另一個站點可能正在使用相同的埠。

問題:

  • 我覺得應該可以同時在域和子域上使用相同的證書而無需跳過箍?
  • 如果上述不可行,我是否應該添加兩個新埠,一個用於 http,一個用於 https,然後將這些埠用於新站點。那麼證書應該能夠正確地為新站點工作嗎?- 對?

編輯:

新子域是否需要另一個 IP 地址?

在 IIS7.5 上,兩個受 SSL 保護的網站需要 ip 地址和埠的唯一組合。因此,您可以共享 IP 地址並使用不同的埠,或者您可以使用相同的埠,但每個站點都需要一個單獨的 IP 地址。你需要選擇。

(順便說一句,為了實現這一點,將多個 IP 地址分配給 Windows 伺服器框沒有問題)

您可以為 *.domain.com 使用萬用字元證書。這存在一些安全問題(因為任何擁有副本的人都可以創建一個新站點,並且它將顯示為有效 - 例如,如果您想要 company.com 和 store.company.com 並且有人獲得了您的私鑰,他們可以是 store1。 company.com,它將顯示為有效站點。

引用自:https://serverfault.com/questions/537453