web-dev-qa-db-ja.com

単一のIPアドレスを使用して、1つのIISイントラネットサーバーに複数のHTTPSサイトを構成するにはどうすればよいですか?

イントラネットでIIS 8.5サーバーを実行しています。これをMYIISSERVERと呼びます。 IPアドレスは1つだけです。

MYIISSERVERには、いくつかのサイトがあります。

  • Site1-現在このサイトにアクセスするには、アドレスhttp://MYIISSERVER/Site1:8003を使用します
  • Site2-現在このサイトにアクセスするには、アドレスhttp://MYIISSERVER/Site2:8004を使用します
  • Site3-現在このサイトにアクセスするには、アドレスhttp://MYIISSERVER/Site3:8005を使用します
  • Site4-現在このサイトにアクセスするには、アドレスhttp://MYIISSERVER/Site4:8006を使用します

これらすべてのサイトで、デフォルトのHTTPSポート443を使用してSSLを使用する必要があります。

IIS 8以降のサーバー名表示(SNI)について読みました。私が理解していることから、これはポート80を使用する保護されていないサイトでホストヘッダー名を使用することに似ています。

これを行うのに最適なルートは何ですか?サイトごとに個別の証明書を取得できますか?すべてのサイトを含むSAN証明書を取得しますか(このシナリオで可能であれば)。

これはイントラネット上にあります。サーバーのFQDNを使用して、これらのサイトが実行されているサーバーにpingを実行できます。現在、異なるホストを使用して、このホスト名で実行されている5つのサイトがあります。したがって、イントラネット上の誰かがこれらのWebアプリの1つにアクセスする場合、http://FQDN:<port>と入力します。安全な接続のために、これらのすべてのサイトでSSLを使用する必要があります。

SSLバインディングをセットアップするとき、ホスト名には何を使用しますか?各サイトをDNSに登録する必要がありますか?

3
Kaine106

IIS 8以上を実行していると仮定すると、サーバー名表示を使用して、SSLで同じIPアドレス上の複数のサイトをホストできます。

各サイトに一意のHostNameが必要です-これは、共通ドメインのサブドメイン、個別のドメイン、またはこれらが内部でのみアクセスされる場合企業イントラネットでは、エントリが企業DNS内にあると仮定して、アプリケーションごとに異なる名前を使用することもできます。

各アプリケーション名の証明書が必要になります-ここでも、ホスト名スタイルに応じて異なるオプションがあります-たとえば、共通ドメインのワイルドカード証明書、個別のドメインをリストするサブジェクト代替名(SAN)証明書、自己署名証明書内部名(これは後ですべてのクライアントマシンに展開する必要があります。そうしないと、証明書を信頼しないようにユーザーに警告します)、または各アプリケーションの個別の証明書。

最後に、各サイトのIIS内に「https」バインディングを追加します-IIS 8を実行している場合は、ワイルドカードまたはSAN証明書を選択する必要がありますホスト名を追加する前に、以降のバージョン(確実にIIS 10)でホスト名を追加し、証明書を選択する前に[サーバー名の表示が必要]を選択できます

IIS 8 Adding https site binding

IIS 10 Adding https site binding

2