我想通过 HTTPS 提供我们的在线服务,但在理解如何实现这一点时遇到了一些问题。要访问我们的服务,您必须通过我们的 ISA 防火墙到达运行 IIS6 的 Win2000 服务器。我们的服务大约有一半位于这里,另一半带您到同样运行 IIS6 的 Win2003 服务器。那么,为了实现这一点,每台服务器都必须安装正确的证书吗?ISA、IIS6_1 和 IIS6_2?是否必须对我们的 ISA 防火墙进行单独配置?
另一个问题是 CA 并且知道我需要多少证书。需要注意的是,我们服务在 IIS6_1 上的域名是www.example.com,而 IIS6_2 上的域名是services.example.com. 我相信这将需要我购买多个证书。看起来我们将使用 Thawte 的 SSL123,因为它是个好名字,而且很快就能买到。我是否需要购买两个证书(一个www.example.com将安装在我们的 ISA 防火墙以及 IIS6_1 上,另一个将安装在services.example.comIIS6_2 上)?或者我需要购买三个,额外的一个在我们的防火墙服务器上使用?
另一个问题是关于 SAN(主题替代名称)。这基本上是在您的证书中添加子域吗?所以我可以购买一个带有一个 SAN 的证书www.和services.?
您可能应该购买“通配符”证书,
example.com这将允许您自己为下面的子域example.com(例如,您提到的两个)颁发有效证书。通配符证书比单个证书更昂贵,但可以让您在未来拥有更大的灵活性。
至于特定的证书映射,您需要将每个特定网页的证书加载到为该页面提供服务的主机上,并加载到 ISA 服务器的 Web 发布规则中(证书对话框位于“侦听器”对象中) .
在这种情况下,SAN 是另一回事。它们用于将多个不同的域名添加到单个证书(例如,同时添加
example.com和添加example.net到单个证书下)。它们不如通配符有用,它可以覆盖*.example.com.