跨多個伺服器設置 HTTPS
我想通過 HTTPS 提供我們的線上服務,但在理解如何實現這一點時遇到了一些問題。要訪問我們的服務,您必須通過我們的 ISA 防火牆到達執行 IIS6 的 Win2000 伺服器。我們的服務大約有一半位於這裡,另一半帶您到同樣執行 IIS6 的 Win2003 伺服器。那麼,為了實現這一點,每台伺服器都必須安裝正確的證書嗎?ISA、IIS6_1 和 IIS6_2?是否必須對我們的 ISA 防火牆進行單獨配置?
另一個問題是 CA 並且知道我需要多少證書。需要注意的是,我們服務在 IIS6_1 上的域名是
www.example.com,而 IIS6_2 上的域名是services.example.com. 我相信這將需要我購買多個證書。看起來我們將使用 Thawte 的 SSL123,因為它是個好名字,而且很快就能買到。我是否需要購買兩個證書(一個www.example.com將安裝在我們的 ISA 防火牆以及 IIS6_1 上,另一個將安裝在services.example.comIIS6_2 上)?或者我需要購買三個,額外的一個在我們的防火牆伺服器上使用?另一個問題是關於 SAN(主題替代名稱)。這基本上是在您的證書中添加子域嗎?所以我可以購買一個帶有一個 SAN 的證書
www.和services.?
您可能應該為此購買“萬用字元”證書,
example.com這將允許您自己為下面的子域example.com(例如,您提到的兩個)頒發有效證書。萬用字元證書比單個證書更昂貴,但可以讓您在未來擁有更大的靈活性。
至於特定的證書映射,您需要將每個特定網頁的證書載入到為該頁面提供服務的主機上,並載入到 ISA 伺服器的 Web 發布規則中(證書對話框位於“偵聽器”對像中) .
在這種情況下,SAN 是另一回事。它們用於將多個不同的域名添加到單個證書(例如,同時添加
example.com和添加example.net到單個證書下)。它們不如萬用字元有用,它可以覆蓋*.example.com.