组织内各个域的 TLS 证书

组织内各个域的 TLS 证书

在我们的组织中,我们有一个主域名和几个其他辅助域名,这些辅助域名不是主域名的子域名。如下所示:

  • 主域名:mycorp.org
  • 二级域名:another.org
  • 二级域名:yetanother.org

我们使用 Windows Server 和 IIS 在自己的服务器上托管这些域上的各种网站。

我们希望为所有域部署 TLS 证书。根据我的初步研究,我发现大多数证书供应商都提供覆盖给定域的任何子域(例如 *.mycorp.org)的公司范围的证书,但这对我们来说行不通,因为我们处理的是完全不同的域。原则上,我认为我们需要多个单域证书,但由于我对证书没有太多经验,所以我想听听专家的建议:

  1. 我们真的需要获取单独的单域证书吗?
  2. 我们可以将多个证书(每个域一个)部署到托管所有网站的同一 IIS 服务器上吗?
  3. 在这种情况下,我是否应该注意任何其他最佳实践或建议?

非常感谢。

答案1

1- 要使用单个证书托管多个域名,您需要使用主题备用名称。SAN 允许您为 SSL 证书指定多个主机名。因此,您可以拥有 mycorp.org、www.mycorp.org、another.org、yetanother.org、test.yetanother.org 等。一些证书供应商有自己的限制,但通常您应该能够在单个证书上列出带有通配符的站点和几十个主机名。

您可以访问 www.google.com,查看 google.com 的证书详细信息并查看主题备用名称值,以查看 SAN 的实际运行情况。您可以看到 google 的证书中包含多个额外域名。

2-是的,您可以在一台服务器上拥有多个证书,每个证书都可以通过每个站点的绑定设置分配给特定的 IIS 站点。

3- 使用 SAN 是一种很常见的做法,但正如其他人提到的那样,你确实会把更安全的鸡蛋放在一个篮子里。如果篮子出了问题,所有的鸡蛋都会被打碎。

相关内容