我们在属于同一域的不同 IIS 服务器上拥有不同的网站site1.example.com,site2.example.com,site3.example.com。但是,我们不知道如何在不同的 IIS 服务器和网站上使用相同的证书。那么,我们应该采取哪些步骤才能使用示例.com这些网站是否在不同的 IIS 服务器上运行?您能否就此问题向我们解释一下?
答案1
您可以为每个主机或站点颁发不同的 x509 证书。或者,如果使用一个证书,则通常支持主题备用名称和通配符主机名。
关于 TLS 和 x509 证书的教程有很多。这里有一个介绍这个主题的教程:如何使用 X.509 证书和 SSL 进行安全通信
答案2
这里涉及三个步骤:
- 实际购买证书
- 在一台服务器上安装证书
- 导出证书的公钥/私钥以便在其他服务器上安装
实际购买证书
为了保护同一域的多个子域的安全,您有两种选择。
- UCC(统一通信证书)证书:UCC 证书可用于保护多个子域,但您在购买证书时必须知道要保护哪些子域。生成 CSR(证书签名请求)时,您需要输入各个子域作为 SAN(主题备用名称)。
- 通配符证书:可能比 UCC 更便宜或更昂贵,具体取决于您需要保护的子域名数量。如果您还不知道需要保护的所有子域名,您可能别无选择。
在一台服务器上安装证书 + 导出证书的公钥/私钥以便在其他服务器上安装
如果您需要实际步骤,这在很大程度上取决于平台,因此,如果您需要,请告诉我您的操作系统和 IIS 版本,我会编辑我的答案。
答案3
使用相同的过程,使用其他 IIS 服务器上的证书 MMC 将证书 PFX 导入本地计算机个人/我的存储区,然后使用 IIS 管理器选择证书。
如果您还没有证书 PFX,请从可能具有该证书的现有 IIS 服务器之一将其导出。
如果证书私钥被标记为“不可导出”,您可以使用越狱导出证书。
答案4
您可以使用通配符证书 (*.example.com) 并将其导入到服务器上。对于具有不同主题备用名称的证书,也可以这样做。为简单起见,pfx 类型的证书是最简单的。您可以在所有服务器上导入此证书并使用它。