Единый сертификат UCC на сервере для SSL-соединений с различными веб-сайтами на разных серверах

Question

Единый сертификат UCC на сервере для SSL-соединений с различными веб-сайтами на разных серверах

Фон

В настоящее время у нас есть несколько серверов, которые будут предоставлять услуги определенному региону, поэтому у них есть свои собственные неразделенные пользователи, хотя нам необходимо установить безопасное соединение для правильной работы сайта.

проблема

К настоящему времени у нас есть только один сертификат SSL для одного домена, который разрешает только одну функцию сайта с https, и мы ищем лучшее экономически эффективное решение, тратя меньше на сертификаты и дополнительные серверы, чтобы предложить HTTPS-соединение всем нашим сайтам.

Вопрос

Можно ли установить множество HTTPS-подключений к разным сайтам, расположенным на разных серверах, только с использованием одного сертификата UC?

Спекуляции

Серверы Windows 2003 (последний SP) X 3
IIS 6.0
1 публичный IP
2 региональных сайта (например: сайт в Северной Америке / сайт в Южной Америке)
Приложение RIA

Ограничения

Один IIS не может содержать все сайты
Сайты разделены, чтобы обеспечить лучшую производительность приложений

Предлагаемое решение № 1: сделать сервер IIS 6.0 обратным прокси

При таком подходе я думаю, что пользователь мог бы легко получить доступ к сайту и приложению, хотя меня беспокоит, как будет вести себя SSL, а также возникнут ли проблемы, потому что сайт является RIA.

источники

Сделать IIS 6.0 обратным прокси

Предлагаемое решение № 2: используйте IP-псевдонимы или NAT

Хотя статья была о Linux и Apache, я думаю, что можно было бы найти несколько эквивалентное решение, используя NAT для перенаправления пользователя на правильный сайт. Еще раз моя главная проблема заключается в том, что HTTPS-соединение может не работать.

источники

https://www.ibm.com/developerworks/web/library/wa-multissl/index.html

Предлагаемое решение № 3: Виртуальные каталоги

Это кажется интересным, хотя я не считаю его практичным, потому что мы действительно хотим отделить отдельные сайты, а не создать один сервер, на котором все они работают.

источники

http://forums.devshed.com/iis-97/redirect-to-another-internal-webserver-317863.html

Предлагаемое решение № 4: Используйте балансировщик нагрузки

Это кажется наиболее очевидным решением, хотя я хочу более статичное решение, а также я хотел бы посмотреть, как это работает с HTTPS.

Последние мысли

Мы можем купить UC Cert, хотя мы предпочли бы не
Можем ли мы использовать один сертификат домена для выполнения всего этого?
Как сессия ASP будет обрабатываться этим параметром?

Большое спасибо за ваше время и еще больше, если вы можете внести свой вклад в некоторые рекомендации о том, как сделать лучший выбор.

0

reverse-proxy load-balancing https nat ucc

Источник

user1139406 12 мар '12 в 20:35

1 ответ

Решение

Другие вопросы по тегам reverse-proxy load-balancing https nat ucc

sysadmin1138 12 мар '12 в 21:03 2012-03-12 21:03 · Accepted Answer · 2012-03-12 21:03

Можно использовать один сертификат UC для нескольких сайтов. Однако есть некоторые ограничения:

Все домены, размещенные с этим сертификатом, будут видны в этом сертификате.
- example.com, example.org, example.co.uk все будут видны в сертификате.
Ваш провайдер SSL не может выдавать сертификат с дополнительными доменными именами, не размещенными в том же домене, или для доменов, для которых вы не можете подтвердить право собственности.
- imap.example.com + owa.example.com просто отлично, но example.com + example-the-second.org может быть запрещен.
Ваш провайдер SSL разрешит только определенное количество дополнительных доменных имен в сертификате, которое, вероятно, значительно ниже вашего отношения количества сайтов на сервер.