Ssl

組織中各個域的 TLS 證書

  • September 9, 2019

在我們的組織中,我們有一個主域和一些其他輔助域,它們不是前者的子域。像這樣的東西:

  • 主域名:mycorp.org
  • 二級域名:another.org
  • 二級域名:yotheranother.org

我們使用 Windows Server 和 IIS 在我們自己的伺服器上託管這些域上的各種網站。

我們想為所有域部署 TLS 證書。根據我的初步研究,我收集到大多數證書供應商都提供涵蓋給定子域的任何子域的公司範圍的證書,例如 *.mycorp.org,但這對我們不起作用,因為我們使用完全不同的域。原則上我認為我們需要多個單域證書,但由於我對證書沒有太多經驗,我想請教一些專家建議:

  1. 我們真的需要獲得單獨的單域證書嗎?
  2. 我們可以將多個證書(每個域一個)部署到託管所有網站的同一 IIS 伺服器上嗎?
  3. 在此設置中是否有任何其他最佳實踐或建議我應該注意?

非常感謝。

1- 要使用單個證書託管多個域名,您將需要使用主題備用名稱。SAN 允許您為 SSL 證書指定多個主機名。因此,您可以擁有 mycorp.org、www.mycorp.org、another.org、yeanother.org、test.yetanother.org 等。一些證書供應商有自己的限制,但通常您應該能夠擁有帶有萬用字元和一個證書上列出了幾十個主機名。

您可以通過訪問 www.google.com 查看 SAN 的執行情況,然後查看 google.com 的證書詳細資訊並查看主題備用名稱值。你可以看到Google在他們的證書中有幾個額外的域。

2-是的,您可以在單個伺服器上擁有多個證書,每個證書都可以通過每個站點的綁定設置分配給特定的 IIS 站點。

3- 使用 SAN 是很常見的做法,但正如其他人所提到的,你確實在一個籃子裡有更安全的雞蛋。那個籃子出事了,所有的雞蛋都壞了。

引用自:https://serverfault.com/questions/982153