Ssl

可從不同 IP 訪問的網站的 IIS 7.5 SSL 證書

  • March 30, 2013

我有一個網站,現在處於開發狀態,可以通過 IP 以兩種方式訪問:在公司內部網路站點可以通過 198.162.0.10/WebSite 和 Internet 212.19.10.50:1234/WebSite 訪問

當使用者轉到 212.19.10.50:1234 時,它通過路由到 198.162.0.10 重定向到 443 埠用於 https。

在我的情況下如何安裝伺服器證書?我需要讓它在內部和外部網路都沒有證書問題的情況下工作。

在我的情況下,是否可以為一個站點創建 2 個證書以使 IIS 選擇探測器證書?

什麼 SAN 內部證書主題必須用於外部網路?外網IP?

儘管從技術上講,可以設置 IIS 來支持這一點,但您將無法獲得這種設置的 SSL 證書。我稍後會解釋…

使用 SSL 時要記住的重要一點是,它是客戶端的瀏覽器執行證書的驗證。因此,客戶端瀏覽器用於連接伺服器的地址很重要。這是證書應該對其有效的地址(也稱為common name或 CN)。

如果您的客戶端使用兩個不同的主機名(或本例中的 IP 地址)連接到同一網站,則您必須擁有兩個主機名的兩個證書或一個多域證書。後者最容易設置,但也更昂貴。但是向一個網站添加兩個證書也不是那麼難。您只需確保有兩個單獨的 IP 地址綁定到同一個網站。每個 SSL 綁定都需要它自己的 IP 地址。因為伺服器在內部網路上,所以我想添加一個額外的 IP 地址(例如198.162.0.10198.162.0.11)並不難。

您以正常方式在伺服器上安裝這兩個證書,然後進入網站的綁定。首先,您添加198.162.0.10用於從公共 Internet 訪問伺服器的第一個 IP 地址(例如 )。您選擇 HTTPS 作為協議,然後選擇具有公共主機名/IP 地址作為公用名的證書。證書的主機名/IP 地址與內部 IP 地址不匹配並不重要。同樣,伺服器對它什麼也不做,它是客戶端的瀏覽器驗證證書。

198.162.0.11然後添加用於在內部訪問伺服器的第二個 IP 地址(例如)。再次選擇 HTTPS 作為協議,但這次選擇具有內部 IP 地址(即198.162.0.11)作為通用名稱的證書。然後你應該完成了。

但是……雖然有一些證書頒發機構會為 IP 地址提供證書,但這些必須是公共 IP 地址,並且您必須能夠證明您是這些 IP 地址的所有者(例如 RIPE 記錄)。但是,它們不會為私有 IP 範圍(如 192.168.xx)提供證書。這就是您進行此設置所需要的,所以您不走運。

兩種解決方案:要麼確保您的網站也可以通過內部網路的公共 IP 地址訪問,並為該公共 IP 地址獲取一個證書。或者通過公共 IP 地址和內部網路的相同主機名訪問它。這個主機名可以映射到內部網路的內部IP地址,這不是問題,只要主機名(=公用名)相同。畢竟,這就是瀏覽器檢查的全部內容。

引用自:https://serverfault.com/questions/494529