我们正在将服务器迁移到具有不同 IP 地址块的另一个设施。迁移完成后,我们是否需要颁发和安装新的 SSL 证书?
如果是这样,在服务器移动之前有没有什么办法可以做好准备,而不是等待它启动后再经过从 IIS 请求、去证书供应商等的过程?
答案1
大多数(我认为是全部) SSL 证书都是基于域名的,因此只要移动后服务器的主机名相同,就无需获取新证书。
但是,这将需要与移动同步的 DNS 更改。
答案2
不,SSL 与域名绑定,而不是与公共 IP 地址绑定。不过,在准备阶段,您应该将 DNS TTL 设置为较低,以便快速传播。
唯一会发生 SSL 和 IP 冲突的情况是当您在单个 IIS 框中使用多个 SSL 证书时。
6 年后,我想对此进行快速编辑。我知道问题不是关于将 SSL 证书分配给 IP,但这是可能的。
SSL 证书通常颁发给完全限定域名 (FQDN),例如“https://www.domain.com“。但是,有些组织需要颁发给公共 IP 地址的 SSL 证书。此选项允许您在证书签名请求 (CSR) 中指定公共 IP 地址作为通用名称。然后,可以使用颁发的证书直接保护与公共 IP 地址的连接(例如,https://123.456.78.99.)””
答案3
SSL 证书与单个 IP 地址绑定,因此您只能将一个证书绑定到给定的 IP 地址。证书本身应与通用名称 (CN) 匹配,该名称通常是输入 DNS 并为服务 (IMAP、HTTPS、SMTP 等) 配置的主机名。
也就是说,只要您采取必要的步骤更新 DNS,使相应的主机名条目指向新的 IP 地址,移动服务器和更改 IP 地址就不是问题。如前所述,您可以通过降低 TTL 来限制潜在时间,以便更改快速传播,您还可以在实际移动服务器之前更改 DNS IP 地址,这样更新将在更改之前生效,从而降低可能的不可达性。