Jak přistupovat k routeru z vnější sítě

Na našem intranetu mám spuštěný server IIS 8.5. Říkáme tomu MYIISSERVER. Má pouze jednu IP adresu.

Pod MYIISSERVER mám několik webů:

  • Site1 - aktuálně pro přístup k tomuto webu používáme adresu http://MYIISSERVER/Site1:8003
  • Site2 - aktuálně pro přístup k tomuto webu používáme adresu http://MYIISSERVER/Site2:8004
  • Site3 - aktuálně pro přístup k tomuto webu používáme adresu http://MYIISSERVER/Site3:8005
  • Site4 - aktuálně pro přístup k tomuto webu používáme adresu http://MYIISSERVER/Site4:8006

Nyní musím zajistit, aby všechny tyto weby používaly SSL pomocí výchozího portu HTTPS 443.

Přečetl jsem si o Server Name Indication (SNI) na IIS 8 a novějších. Z toho, co chápu, je to podobné jako použití názvů záhlaví hostitele na nezabezpečeném webu, který používá port 80.

Jaká je nejlepší cesta, jak toho dosáhnout? Získám pro každý web individuální certifikát? Získám certifikát SAN zahrnující všechny weby (pokud je to pro tento scénář vůbec možné)?

Toto je na intranetu. Mohu provést ping na server, na kterém tyto stránky běží, pomocí FQDN serveru. V současné době běží pod tímto názvem hostitele 5 webů, které používají různé porty. Takže když někdo v našem intranetu chce mít přístup k jedné z těchto webových aplikací, zadá text http://FQDN:. Nyní musím zajistit, aby všechny tyto stránky používaly SSL pro zabezpečené připojení.

Co mohu použít pro název hostitele při nastavování vazby SSL? Musím mít každý web registrovaný u DNS?

  • Proč běží na různých portech? Jedná se o neobvyklé nastavení, protože vyžaduje nevzhledná čísla portů v adresách URL, které si těžko pamatujete. Různé porty jsou stejné jako různé adresy IP pro SSL, protože pro různé porty nepotřebujete SNI nebo SAN. Ve skutečnosti, pokud k nim mají všichni přístup se stejným FQDN, potřebujete pouze jeden certifikát, který je pro tento FQDN.
  • Chcete-li objasnit, co máte na mysli plně kvalifikovaným jménem? Váš příklad MYIISSERVER není plně kvalifikovaný. Plně kvalifikovaný by byl myiisserver.example.com. Certifikáty SSL musí mít na sobě celý název domény a nebudou fungovat, pokud je ke službě přistupováno bez něj.
  • Ano, vím, že MYIISSERVER není plně kvalifikovaný název domény - byl to jen příklad názvu serveru.
  • Stránky musí být změněny, aby používaly SSL vše na portu 443. Myslím, že mohu získat pouze jeden certifikát pro server a použít jej na všechny weby na tomto serveru. Pak nastavte názvy hostitelů pro každý web v jejich vazbách https. Zní to jako nejlepší způsob, jak to udělat? Je zřejmé, že nejsem webmaster. Nejsem si jistý, jaký certifikát je nejlepší použít a jak jej nakonfigurovat tak, aby fungoval na našem intranetu.
  • 1 Pokud výraz „v jejich vazbách https“ znamená „vytvořit konfigurace virtuálního hostitele“.Jeden certifikát by fungoval dobře, pokud se jedná o certifikát SAN, který pokrývá všechny názvy hostitelů.

Za předpokladu, že používáte IIS 8 nebo vyšší, můžete použít Hosting Indication Server k hostování více webů na stejné IP adrese pod SSL.

Budete muset mít jedinečný Název hostitele pro každý web - mohou to být buď subdomény společné domény, odlišné domény, nebo pokud k nim má přístup pouze podnikový intranet, můžete také použít odlišný název pro každou aplikaci za předpokladu, že položky jsou v rámci podnikového DNS.

Pro každý z názvů aplikací budete potřebovat certifikáty - opět máte různé možnosti v závislosti na stylu názvu hostitele - například certifikát se zástupnými znaky pro běžnou doménu, certifikát s předmětem alternativních jmen (SAN) se seznamem jednotlivých domén, certifikát s vlastním podpisem s interními názvy (toto později bude nutné nasadit na všechny klientské počítače, jinak budou varovat uživatele, aby nedůvěřovali certifikátu), nebo samostatné certifikáty pro každou aplikaci.

Nakonec v rámci IIS pro každý web přidáte vazbu „https“ - pokud používáte IIS 8, budete muset vybrat zástupný znak nebo certifikát SAN, než budete moci přidat název hostitele, v novějších verzích (určitě IIS 10) můžete přidat název hostitele a před výběrem certifikátu vyberte možnost „Vyžaduje označení názvu serveru“

Pracoval pro vás: Charles Robertson | Chcete nás kontaktovat?