web-dev-qa-db-ja.com

IISのSSL証明書にホスト名とFQDNの両方がある

私はここでtechnetとgoogleを検索しましたが、まだ質問への回答を見つけることができません。

IIS 7、Server 2012 R2で実行されているWebサイトを持っています。IISはCitrixファームへのアクセスとして機能します。httpsを使用して接続し、 CAサーバーを使用したSSL証明書(証明書はCitrix.contoso.com(サーバーの内部FQDN)用です)。ただし、ユーザーは https:// Citrix を使用して接続しようとすると、証明書エラーが発生します。だから私の質問は、証明書がCitrixとCitrix.contoso.comの両方で機能することは可能ですか?機能している場合、どうすればこれを実行できますか?

証明書の基本となるプリンシパルは信頼です。信頼には、完全修飾名を指定して、関係者(サーバーまたはクライアント、あるいはその両方)を識別する必要があります。単一ラベル名はID要件を満たさないため、信頼できません。認証局は発行すべきではなく、アプリケーションは単一ラベル名を信頼すべきではありません。

証明書を使用するサービスへの接続には単一ラベル名を使用しないでください。代わりに、証明書と一致する完全修飾名を使用してください。

3
Greg Askew

はい、可能です。

2つのサブジェクト代替名(SAN)フィールドを持つ証明書を作成する必要があります。 1つは「citrix」、もう1つは「citrix.contoso.com」です。私はCNをcitrix.contoso.comに保持しますが、証明書にSANフィールドがある場合、CNフィールドは無視されることに注意してください。 SANフィールドを使用して証明書を作成するには、Microsoftの指示に従います カスタムサブジェクトの別名を使用して証明書をリクエストする方法

2
Jofre