Domäne und Subdomäne – für beide Domänen dieselbe IP und dasselbe SSL-Zertifikat mit SAN verwenden?

Domäne und Subdomäne – für beide Domänen dieselbe IP und dasselbe SSL-Zertifikat mit SAN verwenden?

Ich habe eine Site mit einem SSL-Zertifikat. Jetzt muss ich eine weitere Site hinzufügen, die ebenfalls HTTPS verwendet.

Dies scheint möglich zu sein, indem die Bindung für die neue Site unter Verwendung eines anderen Ports für den HTTP- und HTTPS-Verkehr erstellt wird. Dies möchte ich vermeiden, da das Hinzufügen von Ausnahmen in den Firewalls aufgrund von Sicherheitsrichtlinien ein langwieriger Prozess ist.

Ich dachte, man könne das Hinzufügen neuer Ports umgehen, indem man die Site als Subdomäne hinzufügt und dann das SSL-Zertifikat so ändert, dass es einen zusätzlichen SAN-Namen hat, der mit der neuen Subdomäne übereinstimmt.

Ich habe versucht, dies auf meinem lokalen Computer zu testen, aber nachdem ich den Port 443 mit dem Zertifikat auf beiden Sites hinzugefügt, die Hostdatei so bearbeitet habe, dass sie die Subdomäne enthält, und dann die Subdomäne als Hostname zur neuen IIS-Website hinzugefügt habe, kann nur eine der Sites gestartet werden, die andere beschwert sich, dass eine andere Site möglicherweise denselben Port verwendet.

Fragen:

  • Ich bin der Meinung, dass es möglich sein sollte, ohne großen Aufwand gleichzeitig dasselbe Zertifikat für eine Domäne und eine Subdomäne zu verwenden.
  • Wenn das oben genannte nicht möglich ist, sollte ich dann zwei neue Ports hinzufügen, einen für http und einen für https, und diese Ports dann für die neue Site verwenden. Das Zertifikat sollte dann für die neue Site ordnungsgemäß funktionieren? – richtig?

BEARBEITEN:

Benötige ich für die neue Subdomain eine andere IP-Adresse?

Antwort1

Unter IIS7.5 erfordern zwei SSL-geschützte Websites eine eindeutige Kombination aus IP-Adresse und Port. Sie können also die IP-Adresse gemeinsam nutzen und unterschiedliche Ports verwenden, oder Sie können dieselben Ports verwenden, aber dann benötigt jede Site eine separate IP-Adresse. Sie müssen wählen.

(Übrigens ist es kein Problem, einer Windows-Server-Box mehrere IP-Adressen zuzuweisen, um dies zu erreichen)

Antwort2

Sie können einWildcard-Zertifikatfür *.domain.com. Dies bringt einige Sicherheitsprobleme mit sich (da jeder mit einer Kopie eine neue Site erstellen kann und diese als gültig angezeigt wird – wenn Sie beispielsweise company.com und store.company.com möchten und jemand Ihren privaten Schlüssel erhält, kann er store1.company.com sein und dies wird als gültige Site angezeigt).

Antwort3

Unter IIS 7.5 benötigen Sie eindeutige IP-Adressen.SNIwird nicht unterstützt vorIIS 8.

verwandte Informationen