Глупый вопрос о сертификате SSL для Windows 2000 / ASP / IIS
У меня есть сертификат ssl для того, что я считаю своим доменом, и я хочу применить его к двум отдельным приложениям в этом домене, которые работают под классическим ASP в IIS в Windows 2000.
У меня такие глупые вопросы:
- Выдаются ли сертификаты для URL-адресов или доменов? Или поддомены?
- Могу ли я использовать один и тот же сертификат для нескольких веб-сайтов (приложений) в этом домене или мне нужен отдельный сертификат?
- Могу ли я проверить файл сертификата, чтобы определить, для чего и кому он выдан?
Спасибо!
Ответы 4
Они выдаются для доменов. Поддомены требуют собственных сертификатов. Вы можете купить специальный сертификат с подстановочными знаками для своего домена, который позволяет создавать сертификаты для своих поддоменов, но они более дорогие.
Если вы покупаете сертификат для mydomain.com, вы можете использовать его для всего, что начинается с https://mydomain.com/
Да. Вы можете сделать это для любых сертификатов. проверьте значок замка в адресной строке браузера.
1) Веб-сертификаты выдаются домену. В частности, атрибут CN сертификата должен соответствовать домену, используемому для доступа к вашему сайту.
2) Сертификаты обычно устанавливаются для каждого хоста (или виртуального хоста). Если у вас есть сертификат для домена wwwapps.domain.tld, у вас может быть одно приложение в / calendar и одно приложение в / contacts.
3) Да, в зависимости от формата и места, это может быть легко или сложно. Если у вас есть файл crt и вы работаете под Windows, просто щелкните по нему. Вы должны увидеть детали.
Если вы хотите проверить сертификат, установленный на сайте, обычно вам нужно щелкнуть значок навесного замка.
В Windows вы также можете открыть MMC, добавить оснастку сертификата и просмотреть все / все установленные сертификаты на локальном компьютере или свой профиль.
Обычно он выдается одному хосту веб-сервера (в основном это имя компьютера или запись), например foo.bar.com, где foo - одно имя хоста, для которого был сгенерирован запрос сертификата, а bar.com - его домен.
Таким образом, он будет работать для любого приложения или виртуального каталога, которое отвечает на https://foo.bar.com - например, https://foo.bar.com/planner/ - но не более того.
Для https: //*.bar.com вы можете получить групповой сертификат, который позволяет обрабатывать любое количество хостов без какого-либо hassel - за большую плату.
Существуют также сертификаты с несколькими SAN (UCC), которые могут содержать определенное количество имен хостов в одном сертификате, например webmail.bar.com и autodiscover.bar.com для сервера Exchange 2007, обслуживающего как веб-доступ, так и Outlook Anywhere с одного и того же физическая машина и сетевая карта.
Если он в формате .cer, просто открыв его в Windows, вы увидите подробности, если это pfx или какой-либо другой транспортный формат, вам нужно его импортировать.
Вы в основном устанавливаете сертификат на узел веб-сайта в IIS, и все, что вы можете разместить под ним (или изменить с помощью современного брандмауэра перед ним, чтобы по-прежнему отвечать на выданное общее имя foo.bar.com), будет работать.
Спасибо! Я включил порт 443 для сайта в домене сертификата, загрузил сертификат через безопасность каталога в IIS для каждой подпапки и включил 128-битное шифрование. Работал как чемпион!