我们正在安装一个新程序,供应商称该程序需要两个 SSL 证书(均为内部证书):
Servername.Domain 和 ServernameAPI.Domain
我正在使用我们自己的 CA 来颁发证书,并且已经在服务器上安装了一个证书并将其添加到 IIS。
他希望在创建 API 和安装软件之前安装证书,但我不确定如何使用 ADCS 为 API 创建 SSL 证书。我只为服务器本身创建过证书。
另外,我是否真的需要为 API 单独提供一个证书,或者服务器 SSL 证书是否可以工作?
谢谢!
答案1
颁发一份包含这两个名称的主题备用名称的证书。对于 AD CS,请使用 Web 注册表单或 certreq.exe。证书请求是标准的,因此您也可以使用任何其他 x509 工具或文档。
TLS 客户端根据证书检查 DNS 名称。因此,仅颁发给主机的证书APIweb3.example.com
不足以满足对 的请求API.example.com
。
如果您想要单独使用或颁发证书,独立证书可能会很有用。例如,如果您想要强制所有 API 请求都发送到 的 Web 服务器(或负载均衡器)API.example.com
,则请将其作为证书上的唯一名称。 APIweb3.example.com
可以是专门用于远程访问该计算机的另一个证书。