SSL на одном сервере для нескольких веб-сайтов

Question

Вот мой сценарий:

веб-сайт по умолчанию на IIS 6.0 уже защищен сертификатом SSL с общими именами, охватывающими следующее:

domainname.com www.domainname.com

У меня есть новый веб-сайт на том же сервере IIS, и мне нужно защитить его сертификатом SSL со следующим общим именем:

subdomainname.domainname.com (то же имя домена, что и по умолчанию)

У меня нет свободы добавлять новый IP-адрес на сервер. По любым причинам не подходит для инфраструктуры.

Наша веб-почта Exchange также защищена другим сертификатом на другом сервере с:

webmail.domainname.com

Я не верю, что могу использовать сертификат с подстановочными знаками, потому что обмен находится на другом сервере, правильно?

Могу ли я использовать подстановочный сервер или нет, как я могу защитить новый поддомен на главном сервере IIS с помощью нового сертификата? Заменить ли сертификат по умолчанию новым общим именем, представляющим веб-сайт субдомена, и общими именами веб-сайта по умолчанию. Можно ли назначить один и тот же сертификат на одном сервере со всеми распространенными именами, нуждающимися в защите, для нескольких веб-сайтов на IIS 6.0?

Спасибо за любую помощь в решении этой проблемы.

Answer 1

Сэкономьте себе немного денег, просто купите 1 Wildcard SSL и экспортируйте его на любое количество серверов. Большинство CA, включая ssl.com (для которого я являюсь частью - отказ от ответственности), предлагают неограниченные серверные лицензии. Или большинство CA теперь также предлагают форму ограниченного UC, при которой вы получаете ограниченное количество нескольких доменов в вашем сертификате UC. Например, SSL.com Premium предоставляет вам 3 домена, но в основном это сертификат UC (или SAN), который стоит около $ 74 дешевле, чем подстановочный знак. Поэтому, если у вас есть только 3 субдомена, используйте SSL.com Premium

Вы также можете найти http://www.ssltools.com/manager полезным для управления вашими сертификатами Windows ssl.

Answer 2

Вы можете получить один сертификат и использовать его на нескольких серверах, если записи DNS отображаются на правильных серверах.

Go Daddy предлагает несколько типов сертификатов, и они не дают понять, как решить эту проблему.

Стандартный (Turbo) домен SSL 1 ~ $ 30
Стандартный многодоменный (UCC) SSL до 5 доменов ~ $ 90
Стандартный (Turbo) Wildcard SSL ~ $ 200

Получить 5 сертификатов домена с

domainname.com
www.domainname.com
subdomainname.domainname.com
webmail.domainname.com

все перечисленные в одном сертификате. Завершите запрос на сервере, с которого вы начали запрос, затем используйте инструменты, встроенные в серверы Windows, чтобы скопировать сертификат с одного сервера на другой. Это не удаляет его с первого сервера и добавляет его ко второму.

Я сделал это не так давно. Мой веб-сервер - 2008, а почтовый - 2003. В этой комбинации мне пришлось экспортировать файл в формате .pfx, а затем импортировать файл .pfx. Если вы сделаете это с 2003 по 2003 годы, вы сможете использовать копию с другого сервера и сохранить вручную, перемещая экспортируемый файл.

В моем случае в сертификате упоминается «Имя субъекта сертификата» с

Не критично
DNS-имя: www.adomain.com
DNS-имя: adomain.com
DNS-имя: www.adomain.com
DNS-имя: mail.adomain.com

Похоже, одна из этих строк является дубликатом, но эй, это работает. Я не знаю, почему сертификат использует терминологию «Не критично» для заголовка этого раздела.

IIS не позволяет размещать два сайта на одном и том же IP / порте, но позволяет использовать один и тот же SSL на двух разных сайтах. Дополнительный сайт должен будет использовать что-то отличное от 443. Если у вас нет возможности использовать другой IP-адрес.

Answer 3

Вы правы, вам потребуется несколько подписанных сертификатов для ваших серверов. Godaddy предлагает сертификаты только для одного сервера, AFAICT. DigiCert предлагает многодоменные, многосерверные сертификаты. Я никогда не использовал их, поэтому я не могу поручиться за то, что они предлагают, но это показывает, что то, что вы хотите IS доступно на рынке.