Kā piekļūt maršrutētājam no ārējā tīkla

Mūsu iekštīklā darbojas IIS 8.5 serveris. Mēs to sauksim par MYIISSERVER. Tam ir tikai viena IP adrese.

Vietnē MYIISSERVER man ir vairākas vietnes:

  • 1. vietne - pašlaik, lai piekļūtu šai vietnei, mēs izmantojam adresi http://MYIISSERVER/Site1:8003
  • 2. vietne - pašlaik, lai piekļūtu šai vietnei, mēs izmantojam adresi http://MYIISSERVER/Site2:8004
  • 3. vietne - pašlaik, lai piekļūtu šai vietnei, mēs izmantojam adresi http://MYIISSERVER/Site3:8005
  • 4. vietne - pašlaik, lai piekļūtu šai vietnei, mēs izmantojam adresi http://MYIISSERVER/Site4:8006

Tagad man visām šīm vietnēm ir jāizmanto SSL, izmantojot noklusējuma HTTPS portu 443.

Esmu lasījis par servera nosaukuma norādi (SNI) IIS 8 un jaunākās versijās. Pēc manas saprašanas tas ir līdzīgi resursdatora galvenes nosaukumu lietošanai nedrošai vietnei, kurā tiek izmantots 80 ports.

Kāds ir labākais ceļš, lai to izdarītu? Vai es saņemu individuālu sertifikātu katrai vietnei? Vai es saņemu SAN sertifikātu, lai iekļautu visas vietnes (ja tas pat ir iespējams šajā scenārijā)?

Tas ir iekštīklā. Es varu pingēt serveri, kurā darbojas šīs vietnes, izmantojot servera FQDN. Pašlaik ar šo resursdatora nosaukumu darbojas 5 vietnes, izmantojot dažādas ostas. Tāpēc, kad kāds no mūsu iekštīklā vēlas piekļūt vienai no šīm tīmekļa lietotnēm, viņš raksta http://FQDN:. Man tagad visām šīm vietnēm ir jāpielieto SSL drošam savienojumam.

Ko es izmantoju resursdatora nosaukumam, iestatot SSL saistīšanu? Vai man katrai vietnei jābūt reģistrētai DNS?

  • Kāpēc viņi darbojas dažādās ostās? Tas ir neparasts iestatījums, jo tas prasa neizskatīgus portu numurus vietrāžos URL, kurus ir grūti atcerēties. Dažādas porti ir vienādi ar SSL atšķirīgajām IP adresēm, jo ​​dažādām ostām nav nepieciešams SNI vai SAN. Patiesībā, ja viņiem visiem piekļūst ar to pašu FQDN, jums ir nepieciešams tikai viens sertifikāts, kas paredzēts šim FQDN.
  • Lai precizētu, ko jūs domājat ar FQDN? Jūsu piemērs MYIISSERVER nav pilnībā kvalificēts. Pilnībā kvalificēts būtu myiisserver.example.com. SSL sertifikātos jābūt pilnam domēna nosaukumam, un tie nedarbosies, ja pakalpojumam piekļūs bez tā.
  • Jā, es zinu, ka MYIISSERVER nav FQDN - tas bija tikai servera nosaukuma piemērs.
  • Vietnes ir jāmaina, lai 443. portā izmantotu visu SSL. Es domāju, ka varu iegūt tikai vienu servera sertifikātu un pielietot to visām šī servera vietnēm. Pēc tam katrai vietnei https saistījumos iestatiet resursdatora nosaukumus. Vai tas izklausās labākais veids, kā to izdarīt? Acīmredzot es neesmu tīmekļa pārzinis. Es neesmu pārliecināts, kādu sertifikātu vislabāk izmantot un kā to konfigurēt tā, lai tas darbotos mūsu iekštīklā.
  • 1 Ja ar "to https saistījumos" jūs domājat "izveidot virtuālās resursdatora konfigurācijas".Viens sertifikāts darbotos labi, ja tas ir SAN sertifikāts, kas aptver visus resursdatora nosaukumus.

Pieņemot, ka izmantojat IIS 8 vai jaunāku versiju, varat izmantot servera nosaukuma norādi, lai mitinātu vairākas vietnes vienā IP adresē ar SSL.

Jums būs nepieciešams unikāls Resursdatora nosaukums katrai vietnei - tie var būt vai nu kopēja domēna apakšdomēni, atsevišķi domēni vai, ja tiem kādreiz piekļūst tikai korporatīvajā iekštīklā, katrai lietojumprogrammai varat izmantot arī atšķirīgu nosaukumu, pieņemot, ka ieraksti atrodas uzņēmuma DNS.

Jums būs nepieciešami sertifikāti katram no lietojumprogrammu nosaukumiem - atkal jums ir dažādas iespējas atkarībā no resursdatora nosaukuma stila, piemēram, aizstājējzīmes sertifikāts kopīgajam domēnam, tēmas Alternatīvo nosaukumu (SAN) sertifikāts, kurā uzskaitīti atšķirīgie domēni, pašparakstīts sertifikāts ar iekšējiem nosaukumiem (tas vēlāk būs jāizvieto visām klientu mašīnām, pretējā gadījumā tie brīdinās lietotājus neuzticēties sertifikātam) vai katras lietojumprogrammas atsevišķiem sertifikātiem.

Visbeidzot, katras vietnes IIS ietvaros pievienojat saiti “https” - ja izmantojat IIS 8, pirms resursdatora nosaukuma pievienošanas jums jāizvēlas aizstājējzīme vai SAN sertifikāts, jaunākās versijās (protams, IIS 10) varat pievienot resursdatora nosaukumu un pirms sertifikāta izvēles atlasiet “Nepieciešama servera nosaukuma norāde”

strādāja par jums: Charles Robertson | Vēlies ar mums sazināties?