Мы планируем развернуть службы удаленных рабочих столов (Windows Server 2012 R2) с 2 серверами веб-доступа к удаленным рабочим столам. Раньше я запрашивал единый сертификат с помощью внешнего центра сертификации (через запрос сертификата IIS 7), устанавливал его, а затем экспортировал в формат * .pfx для использования. Это было просто.
В нашем производственном развертывании будет 2 сервера веб-доступа к удаленным рабочим столам за Cisco ACE для аварийного переключения и балансировки нагрузки. У меня вопрос: как мне теперь запросить сертификат? За исключением использования подстановочного знака или сертификата SAN (для включения «понятного» имени, которое мы используем), я не уверен, как начать этот процесс.
Могу ли я запросить сертификат у одного из серверов веб-доступа к удаленным рабочим столам, экспортировать и использовать его для них обоих? Или я могу запросить по одному от каждого с SAN / подстановочным знаком как часть запроса? Или я полностью сбился с пути? Я знаком только с базовыми запросами веб-сертификатов HTTPS, поэтому для меня все это загадка.
Помощь от MS, которую я получил через документы и форум, похоже, предполагает, что мы используем внутренний ЦС AD или шлюз, ни один из которых мы не используем (на данный момент нам требуется VPN для доступа за пределы сайта).
Вам действительно нужно, чтобы ваши два сервера веб-доступа к удаленным рабочим столам использовали разные доменные имена? Поскольку это сценарий баланса нагрузки / переключения при отказе, обычно вы должны установить один и тот же сертификат на оба сервера. Использование подстановочного знака / сертификата SAN необходимо только в том случае, если вы собираетесь получить доступ к одному или обоим серверам с разными именами.
Просто создайте запрос сертификата, как обычно, и установите сертификат на обоих серверах - просто убедитесь, что сертификат лицензирован для использования на 2 серверах при его покупке.
Если по какой-либо причине вам действительно нужны разные доменные имена, вы создадите единый запрос сертификата, используя предпочитаемый вами метод. (например, openssl, certreq, iss и т. д.). Если вы решите использовать подстановочный сертификат, вы просто указываете свой домен как * .your.domain и приобретаете его у внешнего центра сертификации, используя их план покупки с подстановочными знаками. Или, если вы решите работать с SAN, вам нужно будет указать SAN в запросе сертификата.
http://technet.microsoft.com/en-us/library/ff625722(v=ws.10).aspx
Другой вариант - установить единый сертификат на Cisco ACE, чтобы выполнить завершение SSL на этом устройстве вместо веб-серверов удаленных рабочих столов. Фактически, это обычно предпочтительный метод при выполнении балансировки нагрузки, поскольку он упрощает работу и позволяет ACE выполнять балансировку уровня приложения.