我有一个公共 Web 服务器,它也广泛用于 LAN。我们正在为 LAN 端建立一个 Windows AD CA 服务器,但我们还需要一个用于 Web 服务器的公共 SSL 证书。网站 URL 解析为 LAN 上的内部 IP,因此我假设我需要同时安装公共证书和 LAN 证书。
如何实现这一点?
答案1
您可以对外部和内部客户端使用单个公共证书。无需对内部客户端使用单独的证书。保持简单。
答案2
您不能对同一个网站使用不同的证书 (*)。使用公共证书,内部客户端将完全信任它。
(*) 那里是解决方法,但它们非常麻烦,除非绝对必要,否则不应该使用它们。
答案3
我同意其他评论,如果更简单的设置适合您,那就简单一点。但要回答您的原始问题,您可以有多个站点绑定 - 您可以使用内部 IP 地址和内部证书设置一个站点绑定,使用外部/DMZ IP 和公共证书设置另一个站点绑定。我还建议为每个绑定定义一个主机名,并选中“需要 SNI”复选框(下面没有选中,但应该选中)。
