Domínio e subdomínio - usando o mesmo certificado ip e ssl com san para ambos os domans?

1

Eu tenho um site com um certificado SSL. Agora preciso adicionar outro site, também usando HTTPS.

Parece que é possível criar a ligação para o novo site usando outra porta para o tráfego HTTP e HTTPS. Isso eu gostaria de evitar, pois a adição de exceções nos firewalls é um processo demorado devido às políticas de segurança.

A maneira como achei que era possível adicionar novas portas era adicionar o site como um subdomínio e, em seguida, alterar o certificado SSL para ter um nome SAN adicional que correspondesse ao novo subdomínio.

Tentei testar isso em minha máquina local, mas depois de adicionar a porta 443 com o certificado nos dois sites, editar o arquivo host para conter o subdomínio e adicionar o subdomínio como um nome de host ao novo site iis. Apenas um dos sites pode ser iniciado, o outro reclama que outro site pode estar usando a mesma porta.

Perguntas:

  • Eu sinto que deve ser possível usar o mesmo certificado em um domínio e um subdomínio ao mesmo tempo sem saltar por aros?
  • Se o acima não for possível, devo adicionar duas novas portas, uma para http e outra para https, e usar essas portas para o novo site. O certificado deve poder funcionar corretamente para o novo site? - certo?

EDITAR:

Preciso de outro endereço IP para o novo subdomínio?

    
por Moulde 09.09.2013 / 13:41

3 respostas

1

No IIS7.5, dois sites protegidos por SSL exigem uma combinação única de endereço IP e porta. Assim, você pode compartilhar endereços IP e usar portas diferentes, ou você pode usar as mesmas portas, mas cada site precisaria de um endereço IP separado. Você precisa escolher.

(btw, não há problema em atribuir múltiplos endereços IP a uma caixa do servidor windows para realizar isso)

    
por 09.09.2013 / 15:44
1

Você pode usar um certificado curinga para * .domain.com. Existem alguns problemas de segurança com isso (já que qualquer pessoa com uma cópia pode criar um novo site e ele será mostrado como válido - por exemplo, se você quiser company.com e store.company.com e alguém receber sua chave privada, eles poderão ser store1. company.com e será exibido como um site válido.

    
por 09.09.2013 / 14:40
0

No IIS 7.5, você precisaria de endereços IP exclusivos. SNI não é suportado antes IIS 8 .

    
por 09.09.2013 / 15:51