我想通过HTTPS提供我们的在线服务,并且遇到了一些理解如何实现这一点的问题。 要访问我们的服务,您必须通过我们的ISA防火墙到运行IIS6的Win2000服务器。 我们大约一半的服务位于此处,另一半则带您到运行IIS6的Win2003服务器。 那么,为了达到这个目的,每台服务器都必须安装适当的证书? ISA,IIS6_1和IIS6_2? 是否有必须对我们的ISA防火墙进行单独的configuration?
另一个问题是CA和知道我需要多less证书。 请注意,我们在IIS6_1上的services.example.com的域名是www.example.com ,但IIS6_2上的域名是services.example.com 。 我相信这将要求我购买多个证书。 看起来好像我们将和Thawte的SSL123一起进行,因为这是个好名字,而且速度很快。 我是否需要购买两个证书(一个用于安装在我们的ISA防火墙上的www.example.com以及IIS6_1,另一个用于IIS6_2上的services.example.com)? 或者我需要购买三个,我们的防火墙服务器上使用的额外的一个?
另一个侧面的问题是关于SAN(主题替代名称)。 这基本上是添加子域到您的证书? 所以我可以购买一个证书与一个SAN的www. 和services. ?
您应该为example.com购买“通配符”证书。这将允许您example.com为example.com下方的子域名(例如,您提到的那些子域名)颁发有效的证书。
通配证书比单个证书更昂贵,但在将来允许您有更大的灵活性。
至于特定的证书映射,您需要将每个特定网页的证书加载到提供该页面的主机上,并加载到ISA服务器的Web发布规则中(证书的对话框位于“侦听器”对象中) 。
在这种情况下,SAN是另一回事。 它们用于将多个不同的域名添加到单个证书(例如,在单个证书下添加example.com和example.net )。 它们不像通配符那样有用,它可以覆盖*.example.com 。