Temos um aplicativo da Web que serve um grande número de sites de um único site do IIS. O site do IIS simplesmente tem uma ligação catch-all na porta 80. Até agora, para as ligações SSL, adicionamos um novo IP à máquina para cada domínio que precisa de SSL e adicionamos uma ligação SSL a esse endereço IP específico.
Agora estamos investigando o armazenamento de certificados centralizado. Achamos que agora poderíamos ter uma ligação SSL pega-tudo que usaria apenas o nome do host fornecido e procuraria o certificado no CCS. Mas isso não parece ser o caso. Você pode adicionar uma ligação SSL pega-tudo com um certificado específico instalado no IIS local ou pode adicionar ligações SSL individuais usando o CCS, mas é necessário especificar um nome de host.
Se eu estiver correto, então isso é uma pegadinha para nós; Ainda seremos uma ligação para cada certificado em uso, mesmo que o próprio certificado esteja no CCS. Estou correto?
EDITAR:
Este é um aplicativo altamente segmentado. Há cerca de cem clientes sendo atendidos, com milhares de nomes de host únicos, todos em execução no mesmo aplicativo da Web; o aplicativo usa um banco de dados para determinar qual conteúdo será exibido para cada nome de host.
Ter uma ligação separada para cada nome de host usado para acessar o aplicativo é um total não inicial. E manter os certificados SSL carregados na instância local do IIS também não é um bom começo; temos lidado com isso até agora e está ficando pesado.
Na porta 80, posso ter uma ligação de pega-tudo; qualquer nome de host usado para conectar-se será direcionado para o aplicativo da Web.
Na porta 443, aparentemente não posso fazer isso a menos que o certificado seja carregado na instância do IIS em vez do CCS. E apenas um certificado curinga por endereço IP pode ser usado dessa maneira. Eu não posso usar o nome de host passado por SNI para procurar o certificado apropriado; o nome do host passado deve corresponder a uma ligação primeiro.
A situação ideal seria se eu pudesse ter uma ligação catch-all na porta 443 com ele procurando automaticamente o certificado apropriado com base no nome de host passado. Não parece que o IIS quer me deixar fazer isso.
Isso é extremamente deprimente. Parece que vamos ter que abrir mão do IIS para isso e descarregar todo o SSL para algo baseado no Apache, o que parece muito mais flexível.