我不太熟悉 SSL 证书以及如何在您的环境中安装它们,我们一直将此工作外包,但我有兴趣全面了解并能够自己完成这项工作。
首先说明一下,我们有一个外部托管的网站,使用与我们的内部网络相同的域名。即网站是www.domain.com,内部网络是domain.com。
该网站已经拥有 GEOTRUST SSL 证书(非通配符),前段时间我曾联系过他们,询问如何将其与我们网络上需要覆盖的服务相结合并获得报价。我认为我们得出的结论是,受保护的域名数量已被占用,我们必须更换为其他证书,虽然我们的网站需要信誉良好的提供商进行付款等,但我们认为不需要更高的价格来覆盖我们目前由自签名证书覆盖的内部服务,这听起来可以接受吗?
我们希望摆脱在外部使用 OWA/RDS 门户时出现的不安全/继续警告,并且每次用户通过 VPN 连接 Outlook 或服务器时也会出现证书警告。
我们使用多个静态 IP 建立多条 bt 无限线路以实现故障转移,例如 mail.domain.com/owa、mail2.domain.com/owa
那么,我们可以只购买通配符 SSL 证书以避免声明所有主机名吗?
我一直在关注 123 reg
https://www.123-reg.co.uk/ssl-certificates/wildcard-ssl-certificates.shtml
有 3 个 Wildcard 套餐,价格分别为 80 英镑、175 英镑和 225 英镑,您认为这些套餐是否符合我们的要求?还有其他推荐吗
您能否列出在我们的环境中需要安装/配置此证书的所有位置?Exchange?IIS?(所有安装了 IIS 的服务器?)
Exchange 2010 位于其自己的服务器上,RD Web 环境也是如此。
您能发现我需要注意的任何潜在陷阱吗?
提前致谢
答案1
首先 - 有很多地方可以买到比大多数英国供应商便宜得多的 SSL 证书。他们都转售相同的东西。用美元购买,东西会便宜很多。https://certificatesforexchange.com/
通配符证书在某些情况下可以发挥作用。但 Exchange 倾向于避免使用通配符证书,因为有些客户端可能会遇到问题。
但是我首先建议你把面向公众的电子商务证书分开保存。这样你就可以撤销内部使用证书或外部证书而不会影响另一个。
首先,您需要查看不同的服务和您正在使用的主机名。检查您在外部使用的主机名。如果您在任何地方都使用相同的域,例如 example.com,那么您可能可以使用通配符 SSL 证书。它实际上只需要在面向公众的 Web 服务上进行。您不需要在每个 RDP 服务器上放置受信任的证书,除非它们是面向公众的(RDP 网关可以避免这种情况)。如果您的内部域是 example.local,那么放置 example.com 证书实际上会给您带来比它解决的问题更多的问题!
对于 Exchange,事情很快就会变得复杂起来。问题就出在自动发现上。如果每个人都使用 @example.com 作为主电子邮件地址,那么一切就都好了,但是如果您有 example.co.uk、example.de 和 example.fr,那么您就必须小心规划名称空间,我会单独处理这些。您还需要确保 Exchange 中的所有 URL 配置都正确设置。我有一个关于所需更改的指南:http://semb.ee/hostnames2010
与许多事情一样,一切都取决于计划——如果您不计划,那么很快就会失控。