Я хочу предлагать наши онлайн-услуги через HTTPS, и у меня возникли некоторые проблемы с пониманием того, как это сделать. Чтобы получить доступ к нашим службам, вы должны пройти через наш брандмауэр ISA на сервер Win2000, на котором работает IIS6. Здесь находится около половины наших служб, а другая половина переносит вас на сервер Win2003, на котором также работает IIS6. Итак, для этого на каждом сервере должен быть установлен соответствующий сертификат? ISA, IIS6_1 и IIS6_2? Необходимо ли отдельно настроить наш брандмауэр ISA?
Другая проблема связана с ЦС и знанием того, сколько сертификатов мне нужно. Важно отметить, что доменное имя для наших служб на IIS6_1 - www.example.com, но доменное имя на IIS6_2 services.example.com. Я считаю, что для этого мне потребуется приобрести более одного сертификата. Похоже, что мы будем использовать SSL123 от Thawte, так как это хорошее имя и его можно быстро получить. Мне нужно будет приобрести два сертификата (один на www.example.com который будет установлен на нашем брандмауэре ISA, а также на IIS6_1, и один для services.example.com на IIS6_2)? Или мне нужно будет купить три, причем лишний будет использоваться на нашем сервере брандмауэра?
Другой побочный вопрос касается SAN (альтернативных имен субъектов). Это в основном добавление субдоменов к вашему сертификату? Таким образом, я мог купить один сертификат с одним SAN для www. и services.?
Вероятно, вам следует приобрести сертификат "подстановочный знак" для example.com Это позволит вам выдавать действительные сертификаты. сами для поддоменов под example.com (например, оба упомянутых вами).
Сертификаты с подстановочными знаками дороже, чем индивидуальные, но в будущем они позволят вам добиться большей гибкости.
Что касается конкретных сопоставлений сертификатов, вам необходимо загрузить сертификаты для каждой конкретной веб-страницы на хост, который обслуживает эту страницу, а также в правила веб-публикации сервера ISA (диалоговые окна для сертификатов находятся в объектах 'слушателя') .
В этом контексте SAN - другое дело. Они используются для добавления нескольких разных доменных имен к одному сертификату (например, для добавления обоих example.com и example.net по единому сертификату). Они не так полезны, как подстановочные знаки, позволяющие охватить *.example.com.