Я пытаюсь найти лучший способ настроить SSL-сертификаты для разрабатываемого нами веб-приложения CMS. Мы будем часто добавлять новые сайты, для которых требуется обслуживание контента через HTTPS / SSL, но домены будут разными для каждого клиента.
Это приложение ASP.Net (3.5 SP1), работающее на IIS 6 (Win Server 2003), и в идеале мы хотели бы запускать его с одного сайта IIS. Во-первых, для производительности, поскольку я предполагаю, что наличие множества сайтов IIS, работающих из одного и того же набора файлов, каждый из которых поддерживает свои собственные соединения с базой данных и кеш, не очень хорошая идея ?! Во-вторых, чтобы упростить работу с точки зрения обслуживания и масштабируемости.
Итак, есть ли способ настроить наше приложение на одном сайте в IIS, который имеет какой-то универсальный сертификат SSL для потенциально сотен доменов? Или, если это невозможно или не рекомендуется, каковы следующие лучшие варианты? Или, если обновление до Win Server 2008 и IIS7 поможет, мы могли бы взглянуть и на это.
Большое спасибо, Тим
Невозможно использовать более одного сертификата на сайт в IIS 6, и, насколько мне известно, то же самое верно и для IIS 7.
Если все ваши клиенты могут использовать поддомен одного и того же домена, вы можете использовать для этого шаблонный сертификат (* .domain.com). Если это невозможно, то сертификат SAN позволит использовать несколько доменов в одном сертификате, но если вам понадобятся сотни доменов, это обойдется вам дорого, и вы можете достичь предела количества доменов, разрешенных для одного сертификата.
Ничто не мешает вам иметь несколько сайтов в IIS, все из которых указывают на одно и то же содержимое.
Помните, что вы можете использовать только ОДИН сертификат для каждого комбинированного IP / порта. Конечно, вы можете использовать групповой сертификат (SAN) для нескольких IP-адресов и / или портов. Это означает, что вам нужно несколько IP-адресов (поскольку использование нестандартного порта 80 часто неприемлемо) для вашего сервера, если вы не используете сертификат SAN, поскольку вы не можете назначить два разных сертификата, прослушивая один и тот же IP.
Надеюсь, это проясняет.
Даже если вы используете несколько сайтов IIS, вам потребуется уникальный IP-адрес и сертификат для каждого сайта. Если у вас нет уникального IP-адреса для каждого сайта, вам потребуется использовать групповой сертификат или сертификат UC (http://www.sslshopper.com/unified-communications-uc-ssl-certificates.html) в любом случае, а затем настройте заголовки хоста SSL для каждого сайта: http://www.sslshopper.com/article-how-to-configure-ssl-host-headers-in-iis-6.html
Я бы рекомендовал попробовать использовать поддомены, чтобы вы могли использовать групповой сертификат на одном сайте.
Используйте один сайт IIS и логику в приложении, чтобы определить, какого клиента обслуживать. Я бы установил либо сертификат SSL для нескольких доменов, либо сертификат поддомена с подстановочными знаками. GoDaddy имеет несколько сертификатов SSL домена:
www.godaddy.com/gdshop/ssl/ssl.asp?ci=9039
Приблизительно за 1200 долларов в год вы можете обслуживать более 100 доменов. Там, где я работаю, у нас есть поддомен с подстановочными знаками и приложение, которое обслуживает несколько поддоменов.
Вот сайт, который также может вам помочь: http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/596b9108-b1a7-494d-885d-f8941b07554c.mspx?mfr=true
Если я помню, у IIS6 возникли проблемы с добавлением нескольких привязок SSL для одного сайта. Вы можете это сделать, но вы должны использовать командную строку, а не графический интерфейс. Видеть:
www.sslshopper.com/article-how-to-configure-ssl-host-headers-in-iis-6.html