none
Подключение сертификата установленного на другом сервере RRS feed

  • Вопрос

  • Здравствуйте.
    В наличии 3 виртуальных сервера: Ws-01, Ws-02 (Windows Server 2008 R2) и Ws-03 (Windows Server 2012 R2)
    Ws-01 используется как терминальный, для доступа как из корпоративной сети так и для доступа снаружи (через Шлюз удаленный рабочих столов) для запуска приложений RemoteApp. На нем установлен SSL-сертификат Thawte SSL123.
    Ws-02 тоже используется как терминальный сервер (тоже для удаленного запуска приложений RemoteApp). При разворачивании на нем службы удаленных рабочих столов, в Конфигурации узла сеансов удаленных рабочих столов, сервером лицензирования удаленных рабочих столов был указан Ws-01.
    Ws-03 планируется использовать в качестве Веб-сервера (на базе IIS).
    Могу-ли я использовать на веб-сервере (Ws-03), SSL-сертификат Thawte SSL123 установленный на Ws-01 или придется покупать другой сертификат и разворачивать его непосредственно на Ws-03 ?
    Если это возможно, как это сделать ? В настройках веб-сервера не получилось указать в качестве сервера лицензирования Ws-01 (как в случае с Ws-02).
    Спасибо.
    28 июля 2014 г. 3:01

Ответы

  • Все правильно, на Localhost Вы должны получать такое сообщение!

    Какое имя Вы указывали для "RD Web Access" ?

    Например: WEB доступ, с сервера rdserver1 Вы получаете по адресу https://rdserver1.mycompany.com а с rdserver2 по https://rdserver2.mycompany.com, в таком случае имена должны быть явно указаны в сертификате, или он должен быть выдан на *.mycompany.com


    • Изменено Zaza Abramov 29 июля 2014 г. 3:46
    • Предложено в качестве ответа Elina Lebedeva 29 июля 2014 г. 6:07
    • Помечено в качестве ответа Elina Lebedeva 30 июля 2014 г. 8:32
    29 июля 2014 г. 3:44
  • Извиняюсь за долгое молчание, был в командировке.

    Сертификат о котором идем речь (Thawte SSL123) не может быть выдан на *.corp.yourcompany.com по определению. Он защищает один и только один домен. Я в любом случае не получил бы желаемого (спасибо вашему примеру).

    Мне-же было необходимо защитить сам домен и все поддомены (или серверы). Поэтому я приобрел (и уже установил) Comodo SSL Wildcard Certificate, который как раз на это заточен. Он как раз выдается на *.corp.yourcompany.com и в нем реализована поддержка защиты ресурсов опубликованных как rd1.domain.ru, rd2.domain.ru, rd3.domain.ru.

    Еще раз спасибо за указание верного направления.

    Тему можно закрывать.

    • Помечено в качестве ответа KrAlAn 7 августа 2014 г. 9:12
    4 августа 2014 г. 10:44

Все ответы

  • Здравсвуйте!

    Зависит от того какие указаны имена в сертификате!

    Если нужные имена присутствуют, то нужно будет экспортировать сертификат с основной машины и импортировать на другие. Ну или воспользоваться оригиналом который получили при покупке.

    • Предложено в качестве ответа Zaza Abramov 28 июля 2014 г. 8:05
    28 июля 2014 г. 4:13
  • Пошел по пути экспорта/импорта сертификата.

    В Диспетчере служб IIS, импортировал сертификат, экспортированный с сервера Ws-01, у Default Web Site в Привязках добавил тип https (на стандартном порту), в Обзоре веб-сайта открываю https://localhost/ и получаю сообщение: "Сертификат безопасности этого веб-узла был выпущен для веб-узла с другим адресом."

    Попытка продолжить открытие этого веб-сайта ни к чему не приводит.

    Подскажите, в каком направлении копать ?

    29 июля 2014 г. 2:08
  • Все правильно, на Localhost Вы должны получать такое сообщение!

    Какое имя Вы указывали для "RD Web Access" ?

    Например: WEB доступ, с сервера rdserver1 Вы получаете по адресу https://rdserver1.mycompany.com а с rdserver2 по https://rdserver2.mycompany.com, в таком случае имена должны быть явно указаны в сертификате, или он должен быть выдан на *.mycompany.com


    • Изменено Zaza Abramov 29 июля 2014 г. 3:46
    • Предложено в качестве ответа Elina Lebedeva 29 июля 2014 г. 6:07
    • Помечено в качестве ответа Elina Lebedeva 30 июля 2014 г. 8:32
    29 июля 2014 г. 3:44
  • Так я и думал.

    Вы очень хороший пример привели. Действительно, сертификат был выдан на домен corp.mycompany.com

    Для обеспечения защищенного канала для приложений RemoteApp на сервере Ws-01.mycompany.com был установлен этот сертификат. Не совсем понимаю, по какой причине, но этого достаточно для работы по RDP, чтобы удаленные пользователи (через шлюз удаленных рабочих столов, если подключаются снаружи) использовали защищенный канал. Как я уже упоминал, я использую этот же сертификат (указывая Ws-01.mycompany.com сервером лицензирования удаленных рабочих столов) и для других терминальных серверов на которых развернута Служба удаленных рабочих столов.

    При попытке-же получить доступ к https://corp.mycompany.com, ничего и не должно было получиться, т.к. там никто не слушает порт 443, там вообще нет IIS.

    Получается, мне сейчас нужно приобрести новый сертификат, на имя Ws-03.mycompany.com (т.е. доменное имя севера на котором развернут IIS) на котором я планирую разворачивать защищенный сайт.

    Именно доменное имя сервера, а не домена, как в предыдущем случае. Вот это меня и смутило.

    Спасибо за помощь.

    29 июля 2014 г. 5:42
  • Не спешите, давайте еще раз.

    То есть сертификат выдан для corp.yourcompany.com? или *.corp.yourcompany.com?

    Мы друг друга правильно поняли? Нужно использовать публичное имя, не yourdomain.local

    Можно и для домена. Если сертификат выдан для *.domain.ru а сервисы будете публиковать как: rd1.domain.ru, rd2.domain.ru, rd3.domain.ru.

    29 июля 2014 г. 9:19
  • Извиняюсь за долгое молчание, был в командировке.

    Сертификат о котором идем речь (Thawte SSL123) не может быть выдан на *.corp.yourcompany.com по определению. Он защищает один и только один домен. Я в любом случае не получил бы желаемого (спасибо вашему примеру).

    Мне-же было необходимо защитить сам домен и все поддомены (или серверы). Поэтому я приобрел (и уже установил) Comodo SSL Wildcard Certificate, который как раз на это заточен. Он как раз выдается на *.corp.yourcompany.com и в нем реализована поддержка защиты ресурсов опубликованных как rd1.domain.ru, rd2.domain.ru, rd3.domain.ru.

    Еще раз спасибо за указание верного направления.

    Тему можно закрывать.

    • Помечено в качестве ответа KrAlAn 7 августа 2014 г. 9:12
    4 августа 2014 г. 10:44
  • Не за что!

    Рад, что был полезен.

    Успехов!


    Не забывайте помечать ответы как "полезные" или "Ответ", возможно это поможет другим участникам форума быстрее найти ответ на свой вопрос.
    • Изменено Zaza Abramov 4 августа 2014 г. 11:09
    4 августа 2014 г. 11:07