我有一个使用 SSL 证书的网站。现在我需要添加另一个也使用 HTTPS 的网站。
似乎可以通过为 HTTP 和 HTTPS 流量使用另一个端口为新站点创建绑定来实现。我想避免这种情况,因为根据安全策略,在防火墙中添加例外是一个漫长的过程。
我认为可以解决添加新端口问题的方法是将站点添加为子域,然后更改 SSL 证书以获得与新子域匹配的附加 SAN 名称。
我尝试在本地计算机上测试此操作,但在两个站点上添加带有证书的 443 端口、编辑主机文件以包含子域,然后将子域作为主机名添加到新的 iis 网站后。只有一个站点可以启动,另一个站点抱怨另一个站点可能正在使用相同的端口。
问题:
- 我觉得应该可以同时在域和子域上使用相同的证书而不需要经过任何麻烦?
- 如果上述方法不可行,我是否应该添加两个新端口,一个用于 http,一个用于 https,然后将这些端口用于新站点。然后证书应该能够正确地用于新站点?- 对吗?
编辑:
新的子域名是否需要另一个 IP 地址?
答案1
在 IIS7.5 上,两个受 SSL 保护的网站需要唯一的 IP 地址和端口组合。因此,您可以共享 IP 地址并使用不同的端口,或者您可以使用相同的端口,但每个站点都需要一个单独的 IP 地址。您需要选择。
(顺便说一句,为了实现这一点,为 Windows 服务器分配多个 IP 地址没有问题)
答案2
您可以使用通配符证书适用于 *.domain.com。这存在一些安全问题(因为任何拥有副本的人都可以创建一个新站点,并且它会显示为有效 - 例如,如果您想要 company.com 和 store.company.com,并且有人获得您的私钥,那么他们可以是 store1.company.com,并且它会显示为有效站点。
答案3
在 IIS 7.5 上,您需要唯一的 IP 地址。信噪比之前不支持微软 IIS 8 新功能。