在我们的组织中,我们有一个主域和一些其他辅助域,它们不是前者的子域。像这样的东西:
- 主域名:mycorp.org
- 二级域名:another.org
- 二级域名:yotheranother.org
我们使用 Windows Server 和 IIS 在我们自己的服务器上托管这些域上的各种网站。
我们想为所有域部署 TLS 证书。根据我的初步研究,我收集到大多数证书供应商都提供涵盖给定子域的任何子域的公司范围的证书,例如 *.mycorp.org,但这对我们不起作用,因为我们使用完全不同的域。原则上我认为我们需要多个单域证书,但由于我对证书没有太多经验,我想请教一些专家建议:
- 我们真的需要获得单独的单域证书吗?
- 我们可以将多个证书(每个域一个)部署到托管所有网站的同一 IIS 服务器上吗?
- 在此设置中是否有任何其他最佳实践或建议我应该注意?
非常感谢。
1- 要使用单个证书托管多个域名,您将需要使用主题备用名称。SAN 允许您为 SSL 证书指定多个主机名。因此,您可以拥有 mycorp.org、www.mycorp.org、another.org、yeanother.org、test.yetanother.org 等。一些证书供应商有自己的限制,但通常您应该能够拥有带有通配符和一个证书上列出了几十个主机名。
您可以通过访问 www.google.com 查看 SAN 的运行情况,然后查看 google.com 的证书详细信息并查看主题备用名称值。你可以看到谷歌在他们的证书中有几个额外的域。
2-是的,您可以在单个服务器上拥有多个证书,每个证书都可以通过每个站点的绑定设置分配给特定的 IIS 站点。
3- 使用 SAN 是很常见的做法,但正如其他人所提到的,你确实在一个篮子里有更安全的鸡蛋。那个篮子出事了,所有的鸡蛋都坏了。