使用单一证书发布多个安全的 Web 站点
更新日期: 2005年02月16日 From:Microsoft.com
简介
用户常常提出这样一个请求,那就是想获得更多关于如何使用单一 IP 地址在防火墙的外部接口上发布多个安全 Web 站点的信息。ISA Server 2000 和 ISA Server 2004 有一个共同点,那就是一个证书只能绑定一个 Web 侦听器。如果您将一个单一的 IP 地址绑定到 ISA Server 2000 或 ISA Server 2004 防火墙的外部接口,则可以发布一个单一的安全 Web 站点。
之所以一个 IP 地址只能发布一个安全 Web 站点的原因就在于外部用户发送请求的目标 Web 站点必须与证书中所列的站点名称相匹配。证书中所列的这个站点名称被称为公用名。例如,如果您想发布一个 Web 站点,并想让用户通过 www.domain.com 来访问这个站点,那么 Web 站点证书中的公用名就必须是 www.domain.com。如果您想使用同一个 Web 侦听器为 www2.domain.com 也发布一个安全站点,那是不可能成功的,因为证书中的公用名与用户请求中的名称不匹配。
真正安全的 Web 发布要求在 Internet 用户和 ISA 防火墙的外部接口之间,以及 ISA 防火墙的内部接口与内部网络的 Web 站点之间强制使用 SSL。端对端的安全性被称为 SSL 到 SSL 的桥接。ISA 防火墙与其类别中其他防火墙的不同之处是 ISA 防火墙在穿越防火墙时可以真正穿透 SSL 流。攻击者在 SSL 隧道中不能隐藏其攻击脚本。
当您执行 SSL 到 SSL 的桥接时,Web 站点上证书的名称与将请求转发给 Internet Web 服务器时所使用的名称应当相同。下图显示了请求路径和所需的证书。
1.
客户端向 www.internal.net 发送了一个 HTTPS 请求,请求访问一个 OWA Web 站点。
2.
请求到达 ISA Server 2004 防火墙的外部接口,并被 OWA Web 发布规则的 Web 侦听器截获。“OWA Web 发布”规则所使用的 Web 侦听器具有一个与之相绑定的 Web 站点证书。证书中的公用名是 www.internal.net。请求中的名称与 Web 侦听器所绑定 Web 站点证书中的公用名相匹配。
3.
“OWA Web 发布”规则被配置为将请求转发至内部网络中的 OWA 站点。ISA Server 2004 防火墙中的“Web 发布”规则被配置为将请求转发至 www.internal.net,此名称与外部接口所绑定的 Web 站点证书中的名称,以及源用户请求所使用的名称均相同。
4.
请求被转发至内部网络中的 OWA 站点。OWA Web 站点也有一个与之相绑定的 Web 站点证书。证书中的公用名为 www.internal.net。此名称与源客户端请求中的名称、接受请求的 Web 侦听器所绑定的证书中的名称,以及 Web 发布规则(用于将请求重定向至内部网络中的 OWA Web 站点)中使用的名称均匹配。如果所有名称均匹配,且用户通过了身份验证,则服务器将接受此连接请求。
如果请求中的名称与证书中的公用名不匹配,则会出现错误。例如,如果 ISA Server 2004 防火墙中的 Web 发布重定向规则被配置为将请求转发至 OWASERVER1,则内部网络中的 Web 站点从 ISA Server 2004 防火墙所接收请求中的名称将不匹配,会生成服务器错误 500。
现在,让我们再仔细研究一下这种方案,即用一个只能在 ISA Server 2000 或 ISA Server 2004 防火墙上绑定一个证书的单一 Web 侦听器来发布两个安全 Web 站点,找到问题的症结所在。下图解释了这种配置。
1.
Internet 上的客户端向 owa.internal.net 发出一个请求。
2.
ISA Server 2004 防火墙外部接口上的 Web 侦听器有一个与之相绑定的 Web 站点证书,其中的公用名为 owa.internal.net。
3.
ISA Server 2004 中的“Web 发布”规则被配置为将请求重定向至 owa.internal.net。名称 owa.internal.net 被解析为内部网络中 OWA Web 服务器的 IP 地址。
4.
内部网络中的 OWA Web 站点具有一个与之相绑定的证书,其中的公用名为 owa.internal.net。如果用户的身份成功通过验证的话,则服务器将接受此请求。
5.
Web 客户端向 www.internal.net 发出一个请求。
6.
ISA Servr 2004 防火墙上的 Web 侦听器具有一个与之相绑定的证书,其中的公用名为 owa.internal.net。此请求将被拒绝,这是因为请求中的名称与 Web 侦听器所绑定证书中的公用名不相同。
此示例说明了您不能使用单一证书发布两个具有不同名称的不同 Web 站点。
还有一个可能发生问题的环节,那就是当证书能够正确匹配,但重定向的配置不正确的时候。下图解释了这种情况发生时的情形。
1.
Internet 上的客户端向 owa.internal.net 发出一个请求。
2.
ISA Server 2004 防火墙上的 Web 侦听器具有一个与之相绑定的证书,其中的公用名为 owa.internal.net。
3.
ISA Server 2004 防火墙上的“Web 发布”规则被配置为将请求转发至 192.168.1.5。
4.
ISA Server 2004 防火墙将请求转发至 192.168.1.5,而此地址并非证书中的公用名。因此,请求将被拒绝,且会发生内部服务器错误 500。
要解决这些问题,十分简单:
•
在防火墙的 Web 侦听器上使用一个通配符证书
•
正确配置 Web 发布规则。
下面我们将详细介绍一下如何正确配置 Web 发布规则,以及如何创建一个通配符证书并将其用于 ISA Server 2004 防火墙。下图说明了通配符证书如何解决用单个证书发布多个安全 Web 站点的问题。
客户端向 owa.internal.net 和 www.internal.net 发出请求。ISA Server 2004 防火墙的 Web 侦听器有一个与之相绑定的证书,其中的公用名为 *.internal.net。这表明 internal.net 域中的任何主机名称都可以包含在客户端请求之中。由于 owa.internal.net 和 www.internal.net 都位于 internal.net 域中,因此这些请求与 Web 侦听器证书中的公用名均匹配。
在 ISA Server 2004 防火墙中配置有两个 Web 发布规则。一个用于将发往 owa.internal.net 的请求转发至内部网络中的 OWA 站点。另一个则将发往 www.internal.net 的请求转发至内部网络中的 www.internal.net 站点。
要想使用 ISA Server 2004 防火墙外部接口上的单一 IP 地址,通过一个通配符证书建立多个 Web 地址,需要遵循以下基本步骤:
•
申请一个通配符证书,
•
将通配符证书导出到一个文件中
•
将通配符证书导入到 ISA Server 2004 防火墙的机器证书存储中
•
为第一个 Web 站点申请一个新的 Web 站点证书
•
为第二个 Web 站点申请一个新的 Web 站点证书
•
创建 Web 发布规则以发布第一个 Web 站点
•
创建 Web 发布规则以发布第二个安全 Web 站点
•
为两个 Web 站点创建 HOSTS 文件条目
下图显示了我们在本文中使用的示例网络。
在 www.internal.net Web 站点中运行的是 Windows Server 2003,在 owa.internal.net 站点中运行的是 Windows Server 2003,它们都是同一个域的成员。Active Directory 域名为 msfirewall.org。请注意 Active Directory 域名对发布方案没有什么影响。ISA Server 2004 防火墙也是该域的成员。
申请一个通配符证书
第一步就是申请一个通配符证书。申请通配符证书最简单的方法就是使用 IIS 中的 Web 站点证书向导。要在 Exchange 2003 服务器机器的企业 CA 中申请通配符证书,请执行下列步骤:
1.
在 Exchange 2003 计算机中,单击开始,然后指向管理工具。单击 Internet 信息服务 (IIS) 管理器。
2.
在 Internet 信息服务 (IIS) 管理器中,单击默认网站,然后右击。单击属性。
3.
在默认网站属性对话框中,单击目录安全性选项卡。
4.
在目录安全性选项卡上,单击服务器证书按钮。
5.
单击欢迎使用 Web 服务器证书向导页面中的下一步。
6.
在服务器证书页面中,选择新建证书选项,然后单击下一步。
7.
在延迟或立即请求页面中,选择立即将证书请求发送到联机证书颁发机构选项。单击下一步。
8.
在名称和安全性设置页面中,保留名称文本框和位长下拉列表中的默认设置。单击下一步。
9.
在单位信息页面的单位文本框中输入您的单位名称,在部门文本框中输入部门名称。单击下一步。
10.
在站点公用名页面中,输入要包括在域通配符证书中的名称。在当前这个例子中,我们计划发布的两台安全服务器都在 internal.net 域中。因此,我们需要为 internal.net 域创建通配符证书(译注:指证书名称中带有通配符)。我们将在公用名文本框中输入 *.internal.net。单击下一步。
11.
在地理信息页面的列表中选择您所在的国家(地区)。输入省/自治区名称和市县名称。单击下一步。
12.
在 SSL 端口页面中,使用默认值 443 并单击下一步。
13.
在选择证书颁发机构页面中,选择代表企业 CA 的默认条目并单击下一步。
14.
检查证书请求提交页面中的信息并单击下一步。
15.
单击完成 Web 服务器证书向导页面中的完成。
16.
不要关闭默认网站属性对话框,使其保持打开状态,以便于进行下一步操作。
将通配符证书导出到一个文件中
下一步就是将通配符证书导出到一个文件中。要在 Exchange 2003 计算机中将通配符证书连带其私钥一同导出到一个文件中,请执行下列步骤:
1.
在默认网站属性对话框中,单击服务器证书按钮。
2.
单击欢迎使用 Web 服务器证书向导页面中的下一步。
3.
在修改当前证书分配页面中,选择将当前证书导出到一个 .pfx 文件选项。单击下一步。
4.
在导出证书页面中,使用路径和文件名文本框中的默认位置并单击下一步。
5.
在证书密码页面的密码文本框和确认密码文本框中输入一个密码,用来保护私钥。
6.
检查导出证书摘要页面中的设置。单击下一步。
7.
单击完成 Web 服务器证书向导页面中的完成。
8.
单击默认网站属性对话框中的确定。
将通配符证书导入到 ISA Server 2004 防火墙机器的证书存储之中
现在,我们需要将证书文件复制到 ISA Server 2004 防火墙计算机之中。在文件被复制到 ISA Server 2004 防火墙之后,再将通配符证书导入到机器的证书存储之中。然后,我们再把导入的证书绑定到 ISA Server 2004 防火墙的机器证书存储。
请在 ISA Server 2004 防火墙机器中执行下列步骤:
1.
将通配符证书文件复制到 ISA Server 2004 防火墙计算机中。
2.
单击开始,然后单击运行命令。在打开文本框中输入 mmc,并单击确定。
3.
在控制台 1 窗口中,单击文件菜单,然后单击添加/删除管理单元命令。
4.
在添加/删除管理单元对话框中,单击添加按钮。
5.
在添加独立管理单元对话框中,单击管理单元列表中的证书条目。单击添加。
6.
在证书管理单元页面中,选择计算机帐户选项并单击下一步。
7.
在选择计算机页面中,选择本地计算机选项并单击完成。
8.
单击添加独立管理单元对话框中的关闭。
9.
单击添加/删除管理单元对话框中的确定。
10.
展开控制台左侧窗格中的证书(本地计算机)节点。右击个人节点,指向所有任务并单击导入。
11.
单击欢迎使用证书导入向导页面中的下一步。
12.
在要导入的文件页面中,单击浏览按钮,定位到您刚从 ISA Server 2004 防火墙机器复制的证书并选择该证书。当该证书出现在文件名文本框中之后,单击下一步。
13.
在密码页面中,输入您在密码文本框中为证书文件所指定的密码。选中标志此密钥为可导出的...复选框。
14.
确保已选择了证书存储页面中的将所有的证书放入下列存储选项,然后单击下一步。
15.
单击正在完成证书导入向导页面中的完成。
16.
在提示您证书已成功导入的证书导入向导对话框中单击确定。
17.
双击控制台右侧窗格中出现的通配符证书。单击证书路径选项卡。您应当在列表的顶部看到颁发证书的 CA 的名称。如果看不到,则请重新启动 ISA Server 2004 防火墙计算机。如果 CA 的名称没有出现在列表的顶部,则表明 CA 证书没有安装在受信任的根证书颁发机构节点之下。由于我们尚未安装企业 CA,ISA Server 2004 防火墙与企业 CA 是同一个域的成员,因此 CA 证书应当自动添加在受信任的根证书颁发机构节点之下。
18.
展开受信任的证书颁发机构节点。您应当在控制台的右侧窗格中看到颁发通配符证书的 CA 的名称。
19.
关闭 MMC 控制台,不保存所做的更改。
为第一台 Web 服务器颁发一个新的 Web 站点证书
OWA web 站点不使用通配符证书来区分其自身与其他计算机。相反,我们会将通配符证书从 OWA Web 站点中移除,然后再在 OWA 站点中安装一个新的证书。
要从 OWA Web 站点中移除当前的证书并为此站点分配一个新的通配符证书,请执行以下步骤:
1.
在第一台 Web 服务器(在此示例中为 OWA 服务器)中,单击开始,并指向管理工具。单击 Internet 信息服务 (IIS) 管理器。
2.
在 Internet 信息服务 (IIS) 管理器控制台中,展开网站节点并单击默认网站。右击默认网站并单击属性。
3.
在默认网站属性对话框中,单击目录安全性选项卡。在目录安全性选项卡上,单击服务器证书按钮。
4.
单击欢迎使用 Web 服务器证书向导页面中的下一步。
5.
在修改当前证书分配页面中,选择删除当前证书选项并单击下一步。
6.
单击删除证书页面中的删除证书。
7.
单击完成 Web 证书向导页面中的完成。
8.
不要关闭默认网站属性对话框,使其保持打开状态,以便于执行下一步操作。
现在我们需要为该 Web 站点申请一个新的证书。要为第一台 Web 服务器的 Web 站点(在此示例中为 OWA 服务器),请执行下列步骤:
1.
在默认网站属性对话框中,单击目录安全性选项卡。
2.
在目录安全性选项卡上,单击服务器证书按钮。
3.
单击欢迎使用 Web 服务器证书向导页面中的下一步。
4.
在服务器证书页面中,选择新建证书选项,然后单击下一步。
5.
在延迟或立即请求页面中,选择立即将证书请求发送到联机证书颁发机构选项。单击下一步。
6.
在名称和安全性设置页面中,保留名称文本框和位长下拉列表中的默认设置。单击下一步。
7.
在单位信息页面的单位文本框中输入您的单位名称,在部门文本框中输入部门名称。单击下一步。
8.
在站点公用名页面中,输入要包括在域通配符证书中的名称。在当前这个例子中,我们计划发布的两台安全服务器都在 internal.net 域中。因此,我们需要为 internal.net 域创建通配符证书(译注:指证书名称中带有通配符)。我们将在公用名文本框中输入 owa.internal.net。单击下一步。
9.
在地理信息页面的列表中选择您所在的国家(地区)。输入省/自治区名称和市县名称。单击下一步。
10.
在 SSL 端口页面中,使用默认值 443 并单击下一步。
11.
在选择证书颁发机构页面中,选择代表企业 CA 的默认条目并单击下一步。
12.
检查证书请求提交页面中的信息并单击下一步。
13.
单击完成 Web 服务器证书向导页面中的完成。
14.
不要关闭默认网站属性对话框,使其保持打开状态,以便于进行下一步操作。
为第二个 Web 站点请求一个新的 Web 站点证书
下一步是为第二个 Web 站点请求一个 Web 站点证书。我们可以使用“IIS Web 站点证书向导”轻松地申请一个证书,因为第二台 Web 服务器与企业 CA 是同一个域的成员。
要为第二台 Web 服务器申请一个 Web 站点证书,请在该服务器上执行以下步骤:
1.
在第二台 Web 站点机器上,单击开始,然后指向管理工具。单击 Internet 信息服务 (IIS) 管理器。
2.
在 Internet 信息服务 (IIS) 管理器中,单击默认网站,然后右击。单击属性。
3.
在默认网站属性对话框中,单击目录安全性选项卡。
4.
在目录安全性选项卡上,单击服务器证书按钮。
5.
单击欢迎使用 Web 服务器证书向导页面中的下一步。
6.
在服务器证书页面中,选择新建证书选项,然后单击下一步。
7.
在延迟或立即请求页面中,选择立即将证书请求发送到联机证书颁发机构选项。单击下一步。
8.
在名称和安全性设置页面中,保留名称文本框和位长下拉列表中的默认设置。单击下一步。
9.
在单位信息页面的单位文本框中输入您的单位名称,在部门文本框中输入部门名称。单击下一步。
10.
在站点公用名页面中,输入要包括在域通配符证书中的名称。在当前这个例子中,我们计划发布的两台安全服务器都在 internal.net 域中。因此,我们需要为 internal.net 域创建通配符证书(译注:指证书名称中带有通配符)。我们将在公用名文本框中输入 www.internal.net。单击下一步。
11.
在地理信息页面的列表中选择您所在的国家(地区)。输入省/自治区名称和市县名称。单击下一步。
12.
在 SSL 端口页面中,使用默认值 443 并单击下一步。
13.
在选择证书颁发机构页面中,选择代表企业 CA 的默认条目并单击下一步。
14.
检查证书请求提交页面中的信息并单击下一步。
15.
单击完成 Web 服务器证书向导页面中的完成。
不要关闭默认网站属性对话框,使其保持打开状态,以便于进行下一步操作。
创建第一条 Web 发布规则
在此示例中,第一台 Web 服务器是一台 OWA 服务器。我们可以使用 ISA Server 2004 机器中的通配符证书,通过 ISA Server 2004 OWA Web 发布向导来发布第一个 Web 站点。
要在 Exchange 2003 机器中发布 OWA Web 站点,请执行下列步骤:
1.
在 ISA Server 2004 机器中,单击开始并指向所有程序。指向 Microsoft ISA Server 并单击ISA 服务器管理。
2.
在 Microsoft Internet Security and Acceleration Server 2004 管理控制台的左侧窗格中,展开您的服务器名称,然后右击防火墙策略节点。指向新建并单击邮件服务器发布规则。
3.
在欢迎使用新建邮件服务器发布规则向导页面的邮件服务器发布规则向导名称文本框中输入一个名称。在此示例中,我们将此规则命名为 OWA。单击下一步。
4.
在选择访问类型页面中,选择 Web 客户端访问:Outlook Web Access (OWA) 选项并单击下一步。
5.
在桥接模式页面中,选择到客户端和邮件服务器的安全连接选项并单击下一步。
6.
在指定 Web 邮件服务器页面中,输入内部网络中的邮件服务器名称。这一步非常关键!输入完全合格的域名,要与内部网络 OWA 站点中安装的 Web 站点证书所使用的名称相同。在这个示例中,OWA 站点中所安装证书的公用名为 owa.internal.net。因此,我们在 Web 邮件服务器对话框中输入 owa.internal.net。稍后我们将创建一个 HOSTS 文件条目,以帮助 ISA Server 2004 防火墙来正确解析此名称。单击下一步。
7.
在选择公用域名页面中,从公用域列表中选择此域名(在下面输入)。在只有对此公用域名或 IP 地址的请求将被转发到已发布的站点文本框中,输入值 owa.internal.net。这便是外部用户连接到 Internet 时用于访问 OWA 站点的名称。单击下一步。
8.
您需要选择一个 Web 侦听器,用它来接受 Web 发布规则的请求。此机器上尚未配置 Web 侦听器,因此需要我们创建一个。单击选择 Web 侦听器页面中的新建按钮。
9.
在欢迎使用新建 Web 侦听器向导页面的 Web 侦听器名称文本框中输入一个名称。在此示例中,我们输入 Wildcard Cert 并单击下一步。
10.
在 IP 地址页面中,选中网络 IP 地址列表中的外部条目,并单击地址。
11.
在外部网络侦听器 IP 选择对话框中选择此网络中已选定的 IP 地址选项。从可用 IP 地址列表中选择 ISA Server 2004 外部接口上的一个 IP 地址,然后单击添加。这会将此地址移至选定的 IP 地址列表之中。单击确定。
12.
单击 IP 地址中的下一步。
13.
在端口选择页面中,选中启用 SSL 复选框。单击选择按钮。在选择证书页面中,从列表中选择通配符证书并单击确定。单击端口规范中的下一步。
14.
单击正在完成新建 Web 侦听器向导页面中的完成。
15.
现在,选择 Web 侦听器页面中将包含您所创建的 Web 侦听器的详细信息。但是,此针听器尚未设置完毕。单击编辑按钮。
16.
在 Wildcart cert 属性对话框中,单击身份验证按钮。在身份验证对话框中,取消选定集成复选框。将弹出 Microsoft Internet Security and Acceleration Server 2004 对话框,提示您所选的身份验证选项可能造成的影响,单击此对话框中的确定。选中基本复选框。将弹出 ISA 服务器配置对话框,提示您基本身份验证会移动凭据,除非您使用 SSL,单击此对话框中的是。我们本来就在使用 SSL,因此这不成问题。单击身份验证对话框中的确定。在 Wildcard cert 属性对话框中单击应用,然后再单击确定。
17.
单击选择 Web 侦听器页面中的下一步。
18.
接受用户集页面中的默认设置并单击下一步。
19.
单击正在完成新建邮件服务器发布规则向导对话框中的完成。
为第二个 Web 站点创建 Web 发布规则
下一步是为第二个 Web 站点创建一个 Web 发布规则。第二个 Web 站点负责对发往 www.internal.net 的请求作出响应。创建此规则的好处在于我们无需另外再创建一个 Web 侦听器,我们可以使用配置第一条 Web 发布规则时所创建的 Web 侦听器。
要创建第二条 Web 发布规则,请执行以下步骤:
1.
在 Microsoft Internet Security and Acceleration Server 2004 管理控制台中,右击防火墙策略节点,指向新建并单击 Web 服务器发布规则。
2.
在欢迎使用新建 Web 发布规则向导页面的 Web 发布规则名称文本框中输入一个名称。在此示例中,我们将把该规则命名为 Second Web Site 并单击下一步。
3.
在选择规则操作页面中选择允许选项并单击下一步。
4.
在新建 Web 发布规则向导页面的计算机名称或 IP 地址文本框中输入内部 Web 站点的名称。在此示例中,此站点的名称与第二个 Web 站点所绑定证书中使用的名称必须相同。第二个 Web 站点上的 Web 站点证书的公用名为 www.internal.net,因此我们将在计算机名称或 IP 地址对话框中输入此名称。在文件夹文本框中输入 /*。这将允许用户访问 Web 站点中的所有文件夹。单击下一步。
5.
在选择公用域名页面中选择此域名(在下面输入)选项。在只有对此公用名或 IP 地址的请求被转发到已发布的站点文本框中,输入外部用户以及基于 Internet 的用户用来访问此站点的名称。在此示例中,外部用户将使用名称 www.internal.net 来连接第二个 Web 站点。因此,我们在文本框中输入此名称。单击下一步。
6.
在选择 Web 侦听器页面中,选择 Web 侦听器列表中的 Wildcard cert 条目。单击下一步。
7.
接受用户集页面中的默认条目所有用户,并单击下一步。
8.
单击正在完成新建 Web 发布规则向导页面中的完成。
9.
右击 Second Web Site Web 发布规则并单击属性。
10.
在 Second Web Site 属性对话框中,选中通知 HTTP 用户使用 HTTPS 和对 HTTPS 通讯要求 128 位加密复选框。单击应用,然后单击确定。
11.
单击应用,保存更改并更新防火墙策略。
在 ISA Server 2004 防火墙上创建 HOSTS 文件
最后一步是为两个 Web 站点创建 HOSTS 文件条目。ISA Server 2004 防火墙需要将 Web 站点证书中的公用名所用的完全合格域名解析为该站点在内部网络中使用的 IP 地址。在我们当前的示例中,站点 owa.internal.net 的 IP 地址为 10.0.1.2,站点 www.internal.net 的 IP 地址为 10.0.1.3。因此 HOSTS 文件中需要有以下两个条目:
10.0.1.2 owa.internal.net
10.0.1.3 www.internal.net
我们示例中的此 HOSTS 文件条目如下图所示:
HOSTS 文件位于:
%SystemRoot\system32\drivers\etc
现有,用户便可以连接到这两个 Web 站点了。确保您的公共 DNS 配置妥当,可以将 Web 站点的名称解析为 ISA Server 2004 防火墙外部接口的 IP 地址,解析为您在 Web 侦听器中所使用的地址。
从下面 ISA Server 2004 防火墙的日志显示中,您可以看到使用 OWA 和 Second Web Site 发布规则可以成功地连接站点。我对日志进行了配置,使其仅显示那些使用 OWA 和 Second Web Site 规则的条目。
结论
在本文中,我们演示了要使用通配符证书在 ISA Server 2004 防火墙计算机中发布多个安全 Web 站点所需的实际操作步骤。开始时,我们讨论了目前用户所面临的问题,并提供了一些潜在的解决方案。文章的其他部分介绍了详细的步骤指南,您可以依照这些步骤使用单个证书发布多个 SSL 站点