我有一个网站,现在处于开发状态,可以通过两种方式通过IP访问:内部公司网站可以通过198.162.0.10/WebSite和Internet访问212.19.10.50:1234/WebSite
当用户转到212.19.10.50:1234时,它被redirect到路由到198.162.0.10和443端口为https。
我如何在我的情况下安装服务器证书? 我需要在内部和外部networking都无需证书问题的情况下工作。
是否有可能创build2个证书的一个网站,使IISselect探针证书在我的情况?
哪些SAN内部证书主题必须是外部networking? 外部IP?
尽pipe技术上可以设置IIS来支持这种设置,但是您将无法获得此类设置的SSL证书。 我会稍后解释…
使用SSL记住重要的事情是客户端的浏览器正在validation证书。 所以客户端的浏览器使用什么来连接服务器是很重要的。 这是证书应该有效的地址(也称为common name或CN)。
如果您的客户端使用两个不同的主机名(或IP地址)连接到同一个网站,则必须拥有两个主机名或两个域证书的两个证书。 后者是最容易build立,但也更昂贵。 但是向一个网站添加两个证书也并不难。 你只需要确保你有两个独立的IP地址绑定到同一个网站。 每个SSL绑定都需要它自己的IP地址。 因为服务器是在一个内部networking上,我想这不是很难添加一个额外的IP地址(例如198.162.0.10和198.162.0.11 )。
您以常规的方式在服务器上安装两个证书,然后进入该网站的绑定。 首先添加用于从公共互联网访问服务器的第一个IP地址(例如198.162.0.10 )。 您selectHTTPS作为协议,然后select具有公共主机名/ IP地址作为公共名称的证书。 证书的主机名/ IP地址与内部IP地址不匹配无关紧要。 同样,服务器也不做任何事情,它是客户端的浏览器validation证书。
然后添加第二个IP地址(例如198.162.0.11 ),用于在内部访问服务器。 再次selectHTTPS作为协议,但是这次您select具有内部IP地址(即198.162.0.11 )的证书作为通用名称。 然后你应该做的。
但是,虽然有几个证书颁发机构会提供IP地址证书,但是这些证书颁发机构必须是公共IP地址,并且您必须能够certificate您是这些IP地址的所有者(例如RIPElogging)。 但是他们不会提供专用IP范围的证书(如192.168.xx)。 这就是你需要的设置,所以你运气不好。
两种解决scheme:要么确保您的网站可以从内部networking的公共IP地址访问,并获得该公共IP地址的一个证书。 或者使其可以通过公共IP地址和内部networking中的相同主机名访问。 这个主机名可以映射到内部networking的一个内部IP地址,只要主机名(= common name)相同,这不是问题。 毕竟,这是所有的浏览器检查。
所以,据我了解,服务器发布在212.19.10.50:1234,并有一个反向代理服务器转发外部stream量的网站? 有可能你还需要一个反向代理的证书,以便它可以正确地redirectstream量。 那个只需要外部的dns条目。
您可以使用拆分DNS解决scheme,其中您的内部DNS提供内部IP地址,而外部DNS服务器提供另一个DNS服务器,那么您只需要一个没有SAN的服务器证书。
另外,如果你想要不同的URL,你可以使用主题替代名称,主题名称是无关紧要的,在这种情况下,它可以是任何东西。 只需添加两个SAN,一个是198.162.0.10,另一个是212.19.10.50(或其DNS等价物)
为了简化你可以完全外部托pipe网站的东西,你只需要一个证书,你不能encryption代理服务器和iis之间的stream量。 或者你可以和你需要代理证书和网站的证书。