Глупый SSL-сертификат для Windows 2000 / ASP / IIS

Question

У меня есть сертификат ssl для того, что я считаю своим доменом, и я хочу применить его к двум отдельным приложениям в этом домене, которые работают под управлением ASP classic в IIS в Windows 2000.

У меня есть следующие глупые вопросы:

1. Выдаются ли сертификаты для URL или доменов? Или субдомены?
2. Могу ли я использовать один и тот же сертификат для нескольких веб-сайтов (приложений) в этом домене или мне нужен отдельный сертификат?
3. Могу ли я проверить файл сертификата, чтобы определить, для чего или кому он был выдан?

Спасибо!

Answer 1

1) Веб-сертификаты выдаются на домен. В частности, атрибут CN сертификата должен соответствовать домену, используемому для доступа к вашему сайту.

2) Сертификаты обычно устанавливаются на хост (или виртуальный хост). Если у вас есть сертификат для домена wwwapps.domain.tld, у вас может быть одно приложение в / calendar и одно приложение в /contacts.

3) Да, в зависимости от формата и где это может быть легко или сложно. Если у вас есть файл CRT, и вы работаете под Windows, просто нажмите на него. Вы должны увидеть детали.

Если вы хотите проверить сертификат, установленный на сайте, вам обычно нужно щелкнуть значок padalock.

В Windows вы также можете открыть MMC, добавить оснастку сертификата и просмотреть все / все установленные сертификаты на локальном компьютере или в своем профиле.

Answer 2

1. Они выдаются для доменов. Субдомены требуют своих собственных сертификатов. Вы можете купить специальный сертификат с подстановочными знаками для своего домена, который позволит вам создавать сертификаты для своих поддоменов, но они стоят дороже.

2. Если вы покупаете сертификат для mydomain.com, вы можете использовать его для всего, что начинается с https://mydomain.com/

3. Да. Вы можете сделать это для любых сертификатов. проверьте значок замка в адресной строке браузера.

Answer 3

Спасибо! Я включил порт 443 для сайта в домене на сертификате, загрузил сертификат через безопасность каталогов в IIS для каждой подпапки и включил 128-битное шифрование. Работал как чемпион!

Answer 4

Обычно он выдается одному хосту веб-сервера (в основном имени компьютера или записи), например foo.bar.com, где foo - это имя хоста, для которого был сгенерирован запрос сертификата, а bar.com - его домен.

Таким образом, он будет работать для любого приложения или виртуального каталога, который отвечает на https://foo.bar.com - как https://foo.bar.com/planner/ - но не более.

Для https://*.bar.com вы можете получить подстановочный сертификат, который позволяет обрабатывать любое количество хостов без каких-либо проблем - за большую стоимость.

Существуют также сертификаты с несколькими SAN (UCC), которые могут содержать определенное количество имен хостов в одном сертификате, например webmail.bar.com и autodiscover.bar.com, для сервера Exchange 2007, обслуживающего как веб-доступ, так и Outlook Anywhere. с той же физической машины и сетевой карты.

Если это файл в формате .cer, просто откройте его в Windows, чтобы увидеть детали, если это pfx или другой транспортный формат, вам нужно его импортировать.

Вы в основном устанавливаете сертификат на узле веб-сайта в IIS, и все, что вы можете разместить под ним (или измените его с помощью современного брандмауэра, чтобы он по-прежнему отвечал выданному общему имени foo.bar.com), будет работать.