Crearea de certificat SSL pe mai mult de un nume pentru serverul IIS - oh, msbro!

Uneori este necesar pentru serverul IIS pentru a crea un certificat digital, pentru numele de domenii multiple.

Un exemplu de astfel de cerințe: certificat de server Exchange, certificatul pentru Enterprise Portal (SharePoint).

Permiteți-mi să explic problema.

Pentru un nume pentru a crea un certificat: rula gestionarea IIS snap-in, și să facă o cerere la certificatul de autoritate de certificare rădăcină.

S-ar părea, au scris certificatul, instalat și totul este bine. Faptul este că, dacă site-ul este vizibil de pe Internet și din rețeaua locală, aceasta poate fi o problemă datorită faptului că numele site-ului sunt diferite.

În serverul nostru ipotetic portal de întreprindere se află. Certificatul eliberat pentru numele site-ului de pe Internet:

primiți o eroare la accesarea site-ului de la rețea:

Standard a scrie un certificat utilizând IIS snap-nu primiți. Nu ajunge să scrie aceleași tipuri de certificate și www.mymegasait.ru mymegasait.ru - pentru certificat sunt două nume diferite.

Unii pun semnul „*“ în numele certificatului:

Silogism, dar ceea ce este bun pentru MS-DOS este rău pentru certificat. Semnul „*“ nu este un substitut 😉

Ea vine pentru a ajuta un astfel de lucru ca Nume alternativ subiect - un domeniu special în certificat, care conține un set de nume care corespund acestui certificat.

Pentru a da un astfel de server de certificate, trebuie să configurați serviciile Autorității de certificare, permițându-i să elibereze certificate care conțin câmpul SAN.

Dacă acest lucru nu se face, atunci SAN din câmpurile de interogare vor fi ignorate, iar certificatul va fi atașat numai la câmpul NC (denumire comună).

Pentru a rezolva problema certificatelor în domeniul SAN trebuie să fie rulat pe computerul care conține Autoritatea de Certificare de serviciu, următoarea comandă:

Efectuat prin linia de comandă:

Crearea de certificat SSL pe mai mult de un nume pentru serverul IIS - oh, msbro!

După comanda de care aveți nevoie pentru a reporni Autoritatea de Certificare. Cel mai simplu mod de a face acest lucru chiar de la linia de comandă:

Puteți genera apoi o cerere de certificat, de exemplu, prin deschiderea certificatului web de inscriere si crearea cererii de certificat șablon Web Server.

Pentru a face acest lucru, deschide accesul la consola WWW CA-ul:

(Apoi, DC-server - controlerul de domeniu care găzduiește CA. Ca o regulă, au pus pe unul dintre controlerele de domeniu)

Du-te sub un cont care are „Administrator“ privilegiu (cum ar fi un administrator de domeniu).

Mergem la Cerere un certificat:

Crearea de certificat SSL pe mai mult de un nume pentru serverul IIS - oh, msbro!

Apoi alegeți «cerere de certificat în avans»:

Crearea de certificat SSL pe mai mult de un nume pentru serverul IIS - oh, msbro!

În continuare «creați și să prezinte o cerere în acest CA»:

Crearea de certificat SSL pe mai mult de un nume pentru serverul IIS - oh, msbro!

Pentru a solicita un certificat pentru o umplere server de web în domeniile în funcție de capturi de ecran:

Crearea de certificat SSL pe mai mult de un nume pentru serverul IIS - oh, msbro!

Sub atribute: cererea trebuie să specifice site-urile DNS-nume, care va trata certificatul, după cum urmează:

În primul rând trebuie să fie principala numele subiectului.

Trimite o cerere către server clic pe Trimite. și de a obține certificatul necesar.

Cu o instalare, cred că, fără probleme.