Планирование, шаг 4. Планирование центрального хранилища сертификатов SSL
Кит Ньюман и Роберт Мак-Мюррей
На этом этапе планирования для веб-фермы добавлена поддержка веб-сайтов с SSL-защитой путем настройки центрального хранилища сертификатов. Централизованная поддержка SSL-сертификатов — это новая функция в IIS 8.
После завершения этих задач запишите проектные решения перед переходом к Step 5: Plan Application Deployment.
4.1. Сведения о централизованных сертификатах
В Windows Server® 2012 функция централизованной поддержки SSL-сертификатов позволяет администраторам сервера централизованно хранить сертификаты в общей папке и получать к ним доступ. Можно настроить хранилище централизованных сертификатов на веб-ферме, чтобы загружать сертификаты из общей папки.
Использование централизованных сертификатов упрощает управление привязками SSL. Для SSL необходимо соответствие DNS-имени и CN-имени сертификата. Подобное условие может распространяться на имена файлов сертификатов. Например, www.contoso.com будет использовать сертификат с именем www.contoso.com.pfxфайла . Этот контракт позволяет Windows Server 2012 иметь только одну привязку SSL независимо от количества защищенных сайтов, использующих эту функцию. IIS 8 определяет, какой сертификат нужно использовать, по значению SNI или имени узла запрошенного веб-сайта, сопоставляя с ними имя файла сертификата.
4.2 Планирование хранилища централизованных SSL-сертификатов
Аналогично случаю общей конфигурации централизованные сертификаты хранят сертификаты для веб-фермы в общей папке на выделенном внутреннем файловом сервере. Не следует помещать общую папку сертификатов на сервер файлов содержимого.
Для центрального хранилища сертификатов необходимо использование следующих соглашений о наименовании сертификатов.
- Имена сертификатов должны иметь следующий вид: CN_name.pfx (например,
www.contoso.com.pfx). - Если сертификат является сертификатом со знаком подстановки, используйте символ подчеркивания (_) в качестве знака подстановки (например, _.contoso.com.pfx).
- Если сертификат имеет несколько имен CN, они должны называться как отдельные файлы (например,
www.contoso1.com.pfx,www.contoso2.com.pfxи т. д.).
См. также раздел
- Шаг 5. Планирование развертывания приложений
- Шаг 3. Планирование балансировки нагрузки веб-фермы IIS
- Шаг 4. Настройка центрального хранилища сертификатов SSL
- Plan a Web Farm with IIS Servers
- Построение веб-фермы с серверами IIS
- Средство развертывания веб-сервера (IIS) с поддержкой размещения: обзор сценария
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по