规划步骤 4:规划 SSL 中央证书存储
作者:Keith Newman 和 Robert McMurray
在此规划 Web 场的阶段,可以通过配置中央证书存储来添加对于由 SSL 保护的网站的支持。 集中式 SSL 证书支持是 IIS 8 上的新增功能。
完成这些任务后,在转到 Step 5: Plan Application Deployment之前请记录你的设计决策。
4.1. 集中式证书简介
在 Windows Server® 2012 上,“集中式 SSL 证书支持”功能允许服务器管理员在文件共享上集中存储和访问证书。 你可以在 Web 场上配置集中式证书存储,以从文件共享中加载证书。
使用集中式的证书可以简化管理 SSL 绑定。 SSL 需要待匹配证书的 DNS 名称和 CN 名称。 类似的协定可以扩展到证书的文件名。 例如,www.contoso.com 将使用证书的文件名 www.contoso.com.pfx。 此合约使 Windows Server 2012 可以只具有一个 SSL 绑定,而不考虑使用此功能的安全站点的数量。 通过 SNI 值或所请求网站的主机名,以及将它与证书的文件名相匹配,IIS 8 可以推断出要使用的证书。
4.2 规划中央证书存储
与共享配置类似,集中式的证书在专用后端文件服务器上使用共享文件夹存储 Web 场证书。 请勿将证书共享文件夹放置在内容文件服务器上。
中央证书存储要求证书使用以下命名约定:
- 证书名称必须遵循以下格式:CN_name.pfx(例如
www.contoso.com.pfx)。 - 如果证书是通配符证书,请将下划线 (_) 用作通配符(如 _.contoso.com.pfx)。
- 如果证书有多个 CN 名称,则必须将它们命名为单独的文件(例如
www.contoso1.com.pfx、www.contoso2.com.pfx等)。