Planung Schritt 4: Planen des zentralen SSL-Zertifikatspeichers

von Keith Newman und Robert McMurray

In dieser Phase der Planung einer Webfarm fügen Sie Unterstützung für SSL-gesicherte Websites hinzu, indem Sie einen zentralen Zertifikatspeicher konfigurieren. Der zentrale SSL-Zertifikatsupport ist ein neues Feature von IIS 8.

Wenn Sie diese Aufgaben abgeschlossen haben, notieren Sie Ihre Entwurfsentscheidungen, und fahren Sie anschließend mit Step 5: Plan Application Deployment fort.

4.1. Einführung in zentralisierte Zertifikate

Unter Windows Server 2012 können Serveradministratoren mithilfe des Features Zentraler SSL-Zertifikatsupport Zertifikate zentral auf einer Dateifreigabe speichern und aufrufen. Sie können einen zentralisierten Zertifikatspeicher in der Webfarm konfigurieren, um die Zertifikate aus der Dateifreigabe zu laden.

Die Verwendung zentralisierter Zertifikate vereinfacht die Verwaltung von SSL-Bindungen. SSL erfordert, dass der DNS-Name und der CN-Name eines Zertifikats übereinstimmen. Ein ähnlicher Vertrag kann auf die Dateinamen der Zertifikate erweitert werden. www.contoso.com würde beispielsweise das Zertifikat mit einem Dateinamen www.contoso.com.pfx verwenden. Dieser Vertrag ermöglicht Windows Server 2012 nur eine SSL-Bindung, unabhängig von der Anzahl der sicheren Websites, die dieses Feature verwenden. IIS 8 leitet das zu verwendende Zertifikat anhand des SNI-Werts oder des Hostnamens der angeforderten Website und Abgleichen mit dem Dateinamen des Zertifikats ab.

4.2 Planen eines zentralen Zertifikatspeichers

Ähnlich wie bei der freigegebenen Konfiguration verwenden die zentralisierten Zertifikate einen freigegebenen Ordner auf einem dedizierten Back-End-Dateiserver, um die Zertifikate für die Webfarm zu speichern. Legen Sie den freigegebenen Zertifikatordner nicht auf dem Inhaltsdateiserver ab.

Der zentrale Zertifikatspeicher erfordert, dass Zertifikate die folgenden Benennungskonventionen verwenden:

  • Zertifikatnamen müssen das folgende Format haben: CN_name.pfx (z. B. www.contoso.com.pfx).
  • Wenn es sich um ein Zertifikat mit Platzhalterzeichen handelt, verwenden Sie einen Unterstrich (_) als Platzhalterzeichen (z. B. _.contoso.com.pfx).
  • Wenn das Zertifikat mehrere CN-Namen hat, müssen sie als einzelne Dateien benannt werden (z. B. www.contoso1.com.pfx, www.contoso2.com.pfx usw.).

Weitere Informationen