SAN SSL证书介绍和更新步骤
Posted 0墨小沫0
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SAN SSL证书介绍和更新步骤相关的知识,希望对你有一定的参考价值。
首先,先解释一下SSL证书的类型和作用。最后,我会以一个实际的案例做验证。
SSL证书介绍部分摘抄自https://netsecurity.51cto.com/article/612719.html,感谢作者海洋之心的介绍;更新步骤部分由小沫博主独自完成。
目前SSL证书已经普及,app和微信等均要求使用,这让网站应用变得更加安全。本文介绍通配符型SSL和SAN SSL证书之间的区别,以便于大家理解和区分,找出哪种证书更适合自己的需求。
通配符SSL和SAN SSL都是传统SSL证书更经济高效的替代品。来详细看一下。
通配符型SSL证书会稍复杂一些,企业使用它来保护主域名和多个子域名的安全。
单一SSL通配符,需要逐一将www.xyz.com,login.xyz.com,mail.xyz.com或其它子域名添加到单一SSL证书中。而通配符型证书就不需要这样麻烦了,之所以称为通配符,它有个前缀“*”,当它添加到域名时,它可以是“mail”,“user”,"sso"等任何名字,其实子域名的数量是无限的,而且时隔一段时间也不需要再重新颁发SSL证书。
通配型SSL的优势
1、易于管理
通配符型SSL证书之所以让人期待,是因为它更易于管理,主域名和所有子域名都在同一个证书下注册。产生的费用也大大降低。
2、灵活的方法
通配型SSL证书可以允许用户添加任意数量的子域名,只要证书有效,随时添加,不需要再向相关机构重新颁发。通配型证书为新的子域名提供完整的保护,在购买证书时不用提供子域名的信息,这就是“*”的作用。
3、性价比高
你不必再为每个子域名购买单独的SSL证书,通配符可以让你不牺牲安全的前提下节省开支。
4、浏览器兼容
通配型SSL证书与电脑、智能手机上所有的浏览器兼容,例如Chrome、Firefox、Safari、Apache、nginx等。
5、加密位数
通配型SSL证书提供256位加密。
通配符型SSL证书适合有较多的子域名,而且之后会变更扩展的人士,也就是说更适合成长型企业。
SAN SSL证书
SAN(主题备用名字)SSL证书是用于多域SSL的另外一个术语。SAN让网站的所有者可以在一个证书下保护多个域名和相关子域。
SAN SSL证书和通配符SSL的最大区别是,SAN SSL可以帮助你保护多个主域名,而通配符做不到,因此SAN SSL证书也被称为UCC——统一通信证书。
再回想之前的实例,假设存在不同的主域名和子域名,例如www.xyz.com,maiil.xyz.com,mail.xyz.net,crm.xyz.net等,而使用SAN SSL单个证书可以涵盖这些所有域名。
与通配符型SSL证书区别的是,SAN SSL证书要求网站所有者在颁发证书时定义好域名和子域名列表。如果要在以后添加新的主域或子域名,则需要更新或在每台服务器上重新部署证书。
使用SAN SSL的主要优势,下面概括如下:
1、更大的灵活性
假如你有三个或四个主域名,每个域名都有多个子域名,使用一个SAN SSL证书,就可以保护所有域名。
2、浏览器兼容性
SAN SSL证书几乎与所有可用的浏览器兼容。
3、加密
SAN SSL证书提供完整的256位加密。
4、专门为应用提供商设计
应用程序提供商可以利用SAN SSL做很多事情,因为提供商通过互联网向不同的客户提供产品服务,每个客户都有唯一的主域名,这样应用程序提供商可以用一个SAN SSL保护每个客户的域名。
在什么场景下使用SAN SSL,什么时候用通配符证书?
当需要保护多个域名的服务器时,SAN SSL证书当为首选。SAN SSL为各种主域名提供安全,包括其下列出的子域名。因此,SAN SSL证书是大型网站的理想选择。
对于只有一个主域名的企业来说,则通配符证书是最佳之选。
针对以上内容介绍,恰巧,我的某一个客户目前正面临SSL证书的更新,由于客户环境采用的是多域多站点模式,存在多后缀的情况,所以,考虑之后决定采用SAN SSL模式为客户更新SSL证书。废话不多说,直接上步骤:
1. 使用mmc控制台,添加“证书”管理单元,此过程省略,展开到如图位置:
2. 按照如图操作,使用高级模式创建CSR证书请求文件,如图:
3. 点击“Next”,如图:
4. 击“Next”,如图:
5. 选择SSL证书模板,此处参照即将过期的证书使用的证书模板,新的证书和老的证书采用相同的模板,如图:
6. 点击“Properties”,如图:
7. 按照如图操作,将需要保护的Web站点添加到DNS中,如图:
8. 输入Friendly name,如图:
9. 按照如图操作,点击“Ok”,如图:
10. 点击“Next”如图:
11. 按照如图选择,将CSR文件保存在一个位置,点击“Finish”,如图:
12. 确认生成的CSR文件,如图:
13. 将CSR文件提交给SSL管理部门,SSL管理部门将使用该CSR文件申请新的SSL证书,申请完成后,将证书上传到该服务器,如图:
14. 打开IIS管理器,完成证书导入,按照下图操作完成,如图:
15. 按照下图操作完成,如图:
16. 导入完成后如图:
17. 将新导入的SSL证书绑定,按照下图完成操作,如图:
18. 编辑https类型的站点,如图:
19. 按照下图操作完成证书绑定,如图:
20. 点击“Ok”完成证书绑定,如图:
21. 接下来是比较重要的一步,如果想让其它的web服务器也使用新申请的SSL证书,首要操作就是在原始申请证书的服务器上将私钥和证书全部导出为pfx文件,然后,将pfx文件拷贝到需要绑定证书的服务器上,进行绑定。
22. 通过mmc证书管理器,将新申请的SSL证书和私钥导出,选中新申请的证书,右键导出,如图:
23. 点击“Next”,如图:
24. 按照下图操作,点击“Next”,如图:
25. 保持默认,点击“Next”,如图:
26. 输入私钥安全密码,此密码可自定义,点击“Next”,如图:
27. 选择导出pfx文件的保存路径,点击“Next”,如图:
28. 点击“Finish”如图:
29. 确认导出的pfx文件,然后将其拷贝到另一台服务器上,如图:
30. 拷贝完成,如图:
31. 登陆IIS web控制台,在服务器证书界面,点击“Import”,如图:
32. 浏览到拷贝过来的pfx文件,并输入导出pfx文件时配置的密码,,点击“Ok”如图:
33. 导入完成后如图,确认和第一台服务器导入的证书参数一致,如图:
34. 绑定新导入的SSL证书,按照下图操作完成,如图:
35. 选中类型为https的站点,点击“Edit”,如图:
36. 按照下图操作,选中新的证书,如图:
37. 点击“Ok”,如图:
38. 至此,SAN SSL证书申请导入完成。
39. 使用IE浏览器访问该https站点,验证证书是否更新,最明显的标识就是证书过期时间,如图:
40. 通过用户终端,验证是否可以正常登陆Citrix虚拟桌面,如图:
41. 至此,SAN SSL证书的更新和验证工作全部完成。
以上是关于SAN SSL证书介绍和更新步骤的主要内容,如果未能解决你的问题,请参考以下文章
使用多域 SSL SAN 证书无法在 Chrome 中建立 wss websocket 连接