我们计划部署带有 2 个 RD Web 访问服务器的远程桌面服务 (Windows Server 2012 R2)。过去,我使用外部 CA(通过 IIS 7 证书请求)请求单个证书,安装它,然后将其导出为 *.pfx 格式以供使用。这很简单。
我们的生产部署将在 Cisco ACE 后面有 2 个 RD Web Access 服务器,用于故障转移和负载平衡。我的问题是,我现在该如何申请证书?除了使用通配符或 SAN 证书(包括我们正在使用的“友好”名称)外,我不知道如何启动此过程。
我是否应该从其中一个 RD Web 访问服务器请求证书,然后导出并将其用于这两个服务器?还是我应该从每个服务器请求一个证书,并将 SAN/通配符作为请求的一部分?或者,我在这里完全偏离了轨道?我只熟悉基本的 HTTPS Web 证书请求,所以这对我来说都是个谜。
我通过文档和论坛获得的 MS 帮助似乎假设我们正在使用内部 AD CA 或网关,但我们都没有使用这两者(我们目前需要 VPN 进行场外访问)。
答案1
您真的需要两台 RD Web 访问服务器使用不同的域名吗?鉴于这是一个负载平衡/故障转移场景,通常您会在两台服务器上安装相同的证书。仅当您打算使用不同的名称访问一台或两台服务器时,才需要使用通配符/SAN 证书。
只需像平常一样创建证书请求,然后在两台服务器上安装证书 - 只需确保在购买时该证书已获得在两台服务器上使用的许可。
如果出于某种原因您确实需要不同的域名,那么您将使用您喜欢的方法创建单个证书请求。(例如 openssl、certreq、iss 等)。如果您决定使用通配符证书,那么您只需将您的域指定为 *.your.domain,然后使用他们的通配符购买计划从外部 CA 购买。或者,如果您决定使用 SAN,那么您将需要在证书请求中指定 SAN。
http://technet.microsoft.com/en-us/library/ff625722(v=ws.10).aspx
另一种选择是在 Cisco ACE 上安装单个证书,以便在该设备(而不是 RD Web 服务器)上执行 SSL 终止。事实上,这通常是执行负载平衡时的首选方法,因为它使事情变得简单,并允许 ACE 执行应用程序层平衡。