Назад | Перейти на главную страницу

Дилемма SSL-сертификата ISA Server 2006

Я делаю большие успехи в предоставлении наших услуг по https с помощью сертификата Go Daddy, который позже будет обновлен до сертификатов Thawte SSL123. Но я только что столкнулся с одной огромной проблемой.

Вот моя установка: я запускаю брандмауэр ISA 2006. Наши веб-сервисы распределены по 2 серверам. Один - это Windows 2000 (www.domain.com), а другой - Windows 2003 (services.domain.com). Итак, мне нужно будет приобрести 2 сертификата как для www, так и для служб, импортировать их в IIS6 на соответствующих машинах, а затем экспортировать их с первичным ключом (обязательно включив все сертификаты в путь сертификации, если это возможно ... я был в тупике на некоторое время), а затем, наконец, импортировать их в личный магазин ISA на локальном компьютере. Проблема, с которой я только что столкнулся, заключается в том, что у меня есть отдельные правила брандмауэра для services.domain.com и www.domain.com ... потому что запросы необходимо перенаправлять на разные веб-серверы. Каждое из этих правил брандмауэра использует один и тот же httplistener. Я только что узнал, что вы можете использовать только 1 сертификат на httplistener. Что еще хуже, у вас может быть только один httplistener на каждый ip / порт. Это верно? Я могу использовать только один сертификат для одного IP-адреса? Казалось бы, это серьезное ограничение. Я ошибся? Если это не так, то впереди у меня еще много работы, так как мне придется настроить дополнительные IP-адреса, добавить их в сетевой интерфейс брандмауэра, создать новых слушателей, используя этот IP-адрес и т. Д.

Может кто-нибудь подтвердить, что я делаю это правильно / неправильно? Как только я начал думать об этом, все казалось легким ... потом это.

Заранее спасибо.

Изменить: чтобы объяснить, что, по моему мнению, мне нужно сделать сейчас, это: настроить www.domain.com для использования одного IP-адреса и установить services.domain.com для использования другого IP-адреса. Затем создайте отдельные httplisteners (ну ... создайте один, потому что он уже существует) для каждого. Один с установленным сертификатом www, другой с установленным сертификатом служб. Как это звучит?

Я не думал, что вам нужно указывать IP-адрес для веб-прослушивателя, который заставит его использовать заголовки хоста и выполнять ваше сопоставление таким образом.

В противном случае вы можете подумать о подстановочном сертификате (* .domain.com)