我的團隊被要求在我們正在進行的專案中添加一項新功能,但沒有人能找到有關 Windows/IIS 是否可以實現該功能的權威詳細資訊。
簡而言之,我們希望客戶使用 CNAME 記錄更新他們的 DNS,將他們的網站指向我們的伺服器而不是他們的伺服器(原因很簡單 - 這就是應用程式代表您的網站所做的事情)。
我們使用具有多個自訂模組的反向代理來提供來自原始伺服器的特定內容。到目前為止,一切都很順利,直到我們遇到 SSL。
有沒有辦法讓 IIS 從另一台伺服器提供 SSL 憑證?換句話說,有沒有辦法成為中間值得信賴的人呢?
我希望這是可能的,這樣我們就不必要求所有客戶重新頒發他們的 SSL 憑證。坦白說,我們不想管理數百個憑證。如果有辦法的話,我還想避免 UCC 情況,因為每次新增客戶端時似乎都需要重新建立憑證。
因此,任何關於代理/託管 SSL(甚至是動態 SSL 託管,如http://www.globalsign.com/cloud/)將不勝感激。
答案1
微軟TMG可以做到這一點。它充當 MITM,為請求的互聯網端提供真實證書,對其進行解密,然後使用請求的本地端的可信任內部證書對其進行重新簽署。然後,您也可以使用下列命令簽署您的本機內部 Web 伺服器內部的證書,並讓 TMG 進行公共請求簽署。
這樣,您可以讓 TMG 在請求傳入時對其進行檢查,並將其反向代理到正確的位置。
我不太知道這對你的情況有多大幫助。