SSL 証明書付きのサイトがあります。今度は、HTTPS を使用する別のサイトを追加する必要があります。
HTTP および HTTPS トラフィック用の別のポートを使用して新しいサイトのバインディングを作成することで、それが可能になるようです。ファイアウォールに例外を追加するのは、セキュリティ ポリシーにより時間のかかるプロセスになるため、これは避けたいと思います。
新しいポートの追加を回避できると考えた方法は、サイトをサブドメインとして追加し、SSL 証明書を変更して、新しいサブドメインに一致する追加の SAN 名を持つようにすることでした。
ローカル マシンでこれをテストしてみましたが、両方のサイトで証明書付きの 443 ポートを追加し、ホスト ファイルを編集してサブドメインを含め、サブドメインをホスト名として新しい IIS Web サイトに追加した後、サイトの 1 つだけを起動でき、もう 1 つのサイトでは別のサイトが同じポートを使用している可能性があるというエラーが表示されます。
質問:
- 面倒な手続きを踏むことなく、ドメインとサブドメインで同時に同じ証明書を使用できるはずだと思います。
- 上記が不可能な場合は、http 用と https 用の 2 つの新しいポートを追加し、それらのポートを新しいサイトに使用する必要があります。そうすれば、証明書は新しいサイトで正しく機能するはずです。 - そうですか?
編集:
新しいサブドメインには別の IP アドレスが必要ですか?
答え1
IIS7.5 では、SSL で保護された 2 つの Web サイトには、IP アドレスとポートの一意の組み合わせが必要です。したがって、IP アドレスを共有して異なるポートを使用することも、同じポートを使用することもできますが、その場合は各サイトに個別の IP アドレスが必要になります。どちらかを選択する必要があります。
(ちなみに、これを実現するために Windows サーバー ボックスに複数の IP アドレスを割り当てても問題はありません)
答え2
あなたはワイルドカード証明書*.domain.com の場合。これにはセキュリティ上の問題がいくつかあります (コピーを持っている人なら誰でも新しいサイトを作成でき、それが有効として表示されるため - たとえば、company.com と store.company.com が必要な場合、誰かがあなたの秘密鍵を入手して store1.company.com にすることができ、それが有効なサイトとして表示されます)。