Load-Balancing

伺服器上的單個 UCC 證書,用於 SSL 連接到不同伺服器上的各種網站

  • March 12, 2012

背景

目前我們有一些伺服器將為某個區域提供服務,因此它們有自己的非共享使用者,儘管我們需要建立安全連接才能使站點正常執行。

問題

到目前為止,我們只有一個域 SSL 證書,它只允許使用 https 的一個站點功能,我們正在尋找最佳的成本效益解決方案,通過花費更少的證書和額外的伺服器來提供到我們所有站點的 HTTPS 連接。

問題

是否可以僅使用一個 UC 證書與位於不同伺服器上的不同站點建立多個 HTTPS 連接?

眼鏡

  • Windows 2003 伺服器(最新 SP)X 3
  • IIS 6.0
  • 1 個公共 IP
  • 2 個區域站點(例如:北美站點 / 南美洲站點)
  • RIA 應用程序

約束

  • 單個 IIS 不能包含所有網站
  • 站點分開以提供更好的應用程序性能

建議的解決方案 #1:使 IIS 6.0 伺服器成為反向代理

使用這種方法,我認為使用者可以輕鬆訪問站點和應用程序,儘管我擔心 SSL 的行為方式以及是否會因為站點是 RIA 而出現問題。

來源

使 IIS 6.0 成為反向代理

建議的解決方案 #2:使用 IP 別名或 NAT

雖然這篇文章是關於 Linux 和 Apache 的,但我認為可以使用 NAT 將使用者重定向到正確的站點來提供某種等效的解決方案。我主要擔心的是 HTTPS 連接可能會失敗。

來源

https://www.ibm.com/developerworks/web/library/wa-multissl/index.html#resources

建議的解決方案#3:虛擬目錄

這個看起來很有趣,雖然我不認為它實用,因為我們真正想要的是分離不同的站點,而不是創建一個執行所有站點的伺服器。

來源

http://forums.devshed.com/iis-97/redirect-to-another-internal-webserver-317863.html

建議的解決方案 #4:使用負載均衡器

這似乎是最明顯的解決方案,雖然我想要一個更靜態的解決方案,而且我想看看它如何與 HTTPS 一起使用。

最後的想法

  • 我們可以購買 UCCert,儘管我們不希望
  • 我們可以使用單個域證書來完成所有這些嗎?
  • 此設置將如何處理 ASP 會話?

非常感謝您抽出寶貴的時間,如果您能就如何做出最佳選擇提供一些指導,我們將更加感謝您。


可以為多個站點使用一個 UC 證書。但是,有一些限制:

  • 使用該證書託管的所有域都將在該證書上可見。

    • example.com、example.org、example.co.uk 都將在證書上可見。
  • 您的 SSL 提供商可能不會為不在同一域中託管的其他域名或您無法證明其所有權的域頒發證書。

    • imap.example.com + owa.example.com 很好,但 example.com + example-the-second.org 可能不允許。
  • 您的 SSL 提供商將只允許在證書上添加一定數量的額外域名,這可能遠低於您的每伺服器站點數比率。

引用自:https://serverfault.com/questions/368954