我想通过 HTTPS 提供我们的在线服务,但在理解如何实现这一点方面遇到了一些问题。要访问我们的服务,您必须通过我们的 ISA 防火墙到达运行 IIS6 的 Win2000 服务器。我们大约一半的服务位于此处,另一半则带您到同样运行 IIS6 的 Win2003 服务器。那么,为了实现这一点,每台服务器都必须安装正确的证书吗?ISA、IIS6_1 和 IIS6_2?是否必须对我们的 ISA 防火墙进行单独的配置?
另一个问题与 CA 有关,我需要知道多少证书。需要注意的是,我们在 IIS6_1 上的服务的域名是www.example.com,但 IIS6_2 上的域名是services.example.com。我相信这将需要我购买多个证书。看起来我们将使用 Thawte 的 SSL123,因为它是一个好名字,而且获取速度很快。我是否需要购买两个证书(一个www.example.com将安装在我们的 ISA 防火墙和 IIS6_1 上,另一个安装services.example.com在 IIS6_2 上)?或者我需要购买三个,额外的一个将用于我们的防火墙服务器?
另一个附带问题是关于 SAN(主题备用名称)。这基本上是在向您的证书添加子域吗?那么我可以为www.和购买一个带有一个 SAN 的证书services.吗?
答案1
您可能应该购买“通配符”证书,example.com
这将允许您颁发有效的证书你自己对于下面的子域名example.com(例如,您提到的两个子域名)。
通配符证书比单个证书更昂贵,但可以让您在将来拥有更大的灵活性。
至于特定的证书映射,您需要将每个特定网页的证书加载到提供该页面的主机上,并加载到 ISA 服务器的 Web 发布规则中(证书对话框位于“侦听器”对象中)。
在此上下文中,SAN 是另一回事。它们用于将多个不同的域名添加到单个证书(例如,在单个证书下添加example.com和example.net)。它们不如通配符有用,通配符可以覆盖*.example.com。