Чтобы протестировать конкретный встроенный клиент, мне нужно настроить веб-сервер, обслуживающий пару сайтов SSL (HTTPS), например main.mysite.com и alternate.mysite.com. Они должны обрабатываться одним и тем же сертификатом с именем субъекта «main.mysite.com» и альтернативным именем субъекта «alternate.mysite.com». Этот сертификат должен быть в цепочке центров сертификации до «правильного» центра сертификации (например, GoDaddy, чтобы снизить стоимость).
Мой вопрос: есть ли какие-нибудь хорошие учебники, как это сделать, или кто-нибудь может объяснить процесс? Какой родительский сертификат мне нужно приобрести у поставщика CA?
Мое понимание SSL-сертификатов ограничено, но, как сказал Мануэль в Fawlty Towers: «Я учусь ...».
Я счастлив работать в Windows (IIS) или Linux (Apache) (или даже OSX, если на то пошло).
Заранее спасибо.
Учебники здесь:
http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html
http://www.sslshopper.com/article-how-to-configure-ssl-host-headers-in-iis-6.html
Вам не нужно беспокоиться о родительском сертификате. Просто получите сертификат от надежного поставщика (например, GoDaddy) со всеми именами, которые необходимо защитить, и следуйте этим инструкциям, чтобы настроить каждый сайт для использования этого сертификата SSL.
(на примере Godaddy)
Во-первых, нет необходимости создавать CSR "нескольких доменов". Вам просто нужно указать основной домен, как если бы вы просто регистрировали один сертификат SSL.
В Godaddy, когда вы входите в CSR, под ним появляется поле New Subject Alt Name. Они не делают его особенно заметным, но он находится прямо под текстовым полем CSR. Вы можете добавить туда любые имена, какие захотите.
Если вы не знаете всех необходимых вам доменных имен, вы можете добавить их позже, а затем повторно выпустить сертификат.
Для этого не нужно создавать новый CSR - вы просто повторно выпускаете сертификат, а затем должны немедленно заменить его через IIS.
Одна небольшая загвоздка, которую я обнаружил, заключалась в том, что попытки добавить определенные домены мне не позволили. Я почти уверен, что это потому, что домен контролируется другой учетной записью godaddy, но в типичной манере godaddy они не выдали мне ошибку. Это может создать проблему, если вы пытаетесь создать сертификат UCC, когда домены охватывают несколько учетных записей.