我们正在计划部署带有2个RD Web访问服务器的远程桌面服务(Windows Server 2012 R2)。 在过去,我使用外部CA(通过IIS 7证书请求)请求单个证书,安装它,然后将其导出为* .pfx格式以供使用。 那很简单。
我们的生产部署将在思科ACE后面有2个RD Web访问服务器用于故障转移和负载平衡。 我的问题是,我现在怎么去申请证书呢? 除了使用通配符或SAN证书(包括我们正在使用的“友好”名称)之外,我不确定如何启动此过程。
我是否需要从RD Web访问服务器申请证书,导出并使用它们两个? 或者,我要求SAN /通配符作为请求的一部分? 或者,我在这里完全偏离轨道? 我只熟悉基本的HTTPS Web证书请求,所以这对我来说是个谜。
通过文档和论坛得到的MS的帮助似乎假定我们正在使用内部的AD CA或网关,我们都没有使用(现在我们需要VPN进行非现场访问)。
你真的需要你的两个RD Web访问服务器来使用不同的域名吗? 由于这是一个负载平衡/故障切换场景,通常情况下,您将在两台服务器上安装相同的证书。 只有在打算使用不同名称访问一台或两台服务器时,才需要使用通配符/ SAN证书。
简单地按照通常的方式创build证书请求,然后在两台服务器上安装证书 – 只要确保证书在购买时已在2台服务器上使用。
如果由于某种原因,您确实需要不同的域名,那么您将使用您的首选方法创build一个证书请求。 (如openssl,certreq,iss等)。 如果您决定使用通配符证书运行,则只需将您的域指定为* .your.domain,然后使用通配符购买计划从外部CA购买。 或者,如果您决定使用SAN运行,则需要在证书请求中指定SAN。
http://technet.microsoft.com/en-us/library/ff625722(v=ws.10).aspx
另一种select是在Cisco ACE上安装单个证书,以便在该设备上执行SSL终止,而不是RD Web服务器。 实际上,这通常是执行负载平衡时的首选方法,因为它使事情变得简单,并允许ACE执行应用程序层平衡。