도메인 및 하위 도메인 - 두 도메인 모두에 대해 san과 동일한 IP 및 SSL 인증서를 사용합니까?

도메인 및 하위 도메인 - 두 도메인 모두에 대해 san과 동일한 IP 및 SSL 인증서를 사용합니까?

SSL 인증서가 있는 사이트가 있습니다. 이제 역시 HTTPS를 사용하여 다른 사이트를 추가해야 합니다.

HTTP 및 HTTPS 트래픽에 대해 다른 포트를 사용하여 새 사이트에 대한 바인딩을 생성하면 가능한 것 같습니다. 방화벽에 예외를 추가하는 것은 보안 정책으로 인해 시간이 많이 걸리는 프로세스이므로 이를 피하고 싶습니다.

새 포트를 추가하는 것이 가능하다고 생각한 방법은 사이트를 하위 도메인으로 추가한 다음 SSL 인증서를 변경하여 새 하위 도메인과 일치하는 추가 SAN 이름을 갖는 것이었습니다.

내 로컬 컴퓨터에서 이것을 테스트해 보았지만 두 사이트 모두에서 인증서와 함께 443 포트를 추가하고 하위 도메인을 포함하도록 호스트 파일을 편집한 다음 하위 도메인을 새 iis 웹 사이트에 호스트 이름으로 추가했습니다. 사이트 중 하나만 시작할 수 있으며, 다른 사이트는 다른 사이트가 동일한 포트를 사용하고 있다고 불평합니다.

질문:

  • 어려움을 겪지 않고 도메인과 하위 도메인에서 동시에 동일한 인증서를 사용할 수 있어야 한다고 생각합니까?
  • 위의 방법이 불가능할 경우 http용 포트와 https용 포트 두 개를 새로 추가한 다음 해당 포트를 새 사이트에 사용해야 합니다. 그러면 인증서가 새 사이트에서 올바르게 작동할 수 있습니까? - 오른쪽?

편집하다:

새 하위 도메인에 다른 IP 주소가 필요합니까?

답변1

IIS7.5에서는 SSL로 보호되는 두 개의 웹사이트에 IP 주소와 포트의 고유한 조합이 필요합니다. 따라서 IP 주소를 공유하고 다른 포트를 사용할 수 있습니다. 또는 동일한 포트를 사용할 수 있지만 각 사이트에는 별도의 IP 주소가 필요합니다. 당신은 선택해야합니다.

(그런데 이 작업을 수행하기 위해 Windows 서버 상자에 여러 IP 주소를 할당하는 데 문제가 없습니다.)

답변2

당신은 사용할 수 있습니다와일드카드 인증서*.domain.com의 경우. 여기에는 몇 가지 보안 문제가 있습니다(사본이 있는 사람은 누구나 새 사이트를 만들 수 있고 유효한 것으로 표시되기 때문입니다. 예를 들어 company.com 및 store.company.com을 원하고 누군가가 개인 키를 얻은 경우 store1이 될 수 있습니다.) company.com이며 유효한 사이트로 표시됩니다.

답변3

IIS 7.5에서는 고유한 IP 주소가 필요합니다.SNI이전에는 지원되지 않습니다IIS 8.

관련 정보