我有一個帶有 SSL 憑證的網站。現在我需要新增另一個站點,也使用 HTTPS。
似乎可以透過使用 HTTP 和 HTTPS 流量的另一個連接埠為新網站創建綁定來實現。我想避免這種情況,因為由於安全策略的原因,在防火牆中添加例外是一個漫長的過程。
我認為可以繞過新增連接埠的方法是將網站新增為子網域,然後變更 SSL 憑證以具有與新子網域相符的附加 SAN 名稱。
我嘗試在本機電腦上對此進行測試,但在兩個網站上新增帶有憑證的 443 連接埠後,編輯主機檔案以包含子網域,然後將子網域作為主機名稱新增至新的 iis 網站。只有其中一個網站可以啟動,另一個網站抱怨另一個網站可能正在使用相同連接埠。
問題:
- 我覺得應該可以在網域和子網域上同時使用相同的證書,而不需要跳過任何麻煩?
- 如果上述方法不可能,我是否應該添加兩個新端口,一個用於 http,一個用於 https,然後將這些端口用於新站點。那麼證書應該能夠正確地用於新網站嗎? - 正確的?
編輯:
新子網域是否需要另一個 IP 位址?
答案1
在 IIS7.5 上,兩個受 SSL 保護的網站需要 IP 位址和連接埠的唯一組合。因此,您可以共用 IP 位址並使用不同的端口,也可以使用相同的端口,但每個站點都需要一個單獨的 IP 位址。你需要選擇。
(順便說一句,為 Windows 伺服器分配多個 IP 位址以實現此目的沒有問題)
答案2
您可以使用通配符證書對於 *.domain.com。這存在一些安全性問題(因為任何擁有副本的人都可以創建一個新網站,並且它將顯示為有效- 例如,如果您想要company.com和store.company.com,並且有人獲得您的私鑰,他們可以是store1。