Планирование, шаг 4. Планирование центрального хранилища сертификатов SSL

Кит Ньюман и Роберт Мак-Мюррей

На этом этапе планирования для веб-фермы добавлена поддержка веб-сайтов с SSL-защитой путем настройки центрального хранилища сертификатов. Централизованная поддержка SSL-сертификатов — это новая функция в IIS 8.

После завершения этих задач запишите проектные решения перед переходом к Step 5: Plan Application Deployment.

4.1. Сведения о централизованных сертификатах

В Windows Server® 2012 функция централизованной поддержки SSL-сертификатов позволяет администраторам сервера централизованно хранить сертификаты в общей папке и получать к ним доступ. Можно настроить хранилище централизованных сертификатов на веб-ферме, чтобы загружать сертификаты из общей папки.

Использование централизованных сертификатов упрощает управление привязками SSL. Для SSL необходимо соответствие DNS-имени и CN-имени сертификата. Подобное условие может распространяться на имена файлов сертификатов. Например, www.contoso.com будет использовать сертификат с именем www.contoso.com.pfxфайла . Этот контракт позволяет Windows Server 2012 иметь только одну привязку SSL независимо от количества защищенных сайтов, использующих эту функцию. IIS 8 определяет, какой сертификат нужно использовать, по значению SNI или имени узла запрошенного веб-сайта, сопоставляя с ними имя файла сертификата.

4.2 Планирование хранилища централизованных SSL-сертификатов

Аналогично случаю общей конфигурации централизованные сертификаты хранят сертификаты для веб-фермы в общей папке на выделенном внутреннем файловом сервере. Не следует помещать общую папку сертификатов на сервер файлов содержимого.

Для центрального хранилища сертификатов необходимо использование следующих соглашений о наименовании сертификатов.

• Имена сертификатов должны иметь следующий вид: CN_name.pfx (например, www.contoso.com.pfx).
• Если сертификат является сертификатом со знаком подстановки, используйте символ подчеркивания (_) в качестве знака подстановки (например, _.contoso.com.pfx).
• Если сертификат имеет несколько имен CN, они должны называться как отдельные файлы (например, www.contoso1.com.pfx, www.contoso2.com.pfxи т. д.).

См. также раздел

• Шаг 5. Планирование развертывания приложений
• Шаг 3. Планирование балансировки нагрузки веб-фермы IIS
• Шаг 4. Настройка центрального хранилища сертификатов SSL
• Plan a Web Farm with IIS Servers
• Построение веб-фермы с серверами IIS
• Средство развертывания веб-сервера (IIS) с поддержкой размещения: обзор сценария