在 IIS 6 上使用通配符 SSL 的多个站点

Question

我们有一台运行 Win Server 2003 SP1 和 IIS 6 的服务器。服务器运行 三个网站，其中只有 一个需要保护。但是，在任何其他的前面添加 HTTPS 会将用户重定向到受保护的网站。

从我的阅读中可以看出，这是因为 SP1 之前的 SSL 仅基于 IP 地址工作，而 SP1 之后的 SSL 可以使用一些脚本为主机头配置它。这一切都很棒。

如果我的申请满足以下条件，我需要知道最终要求是什么：

1. http://www.site1.com - SSL 不是必需的，但如果用户输入 https://www.site1.com，它不应重定向到 https://app.site1.com
2. http://www.site2.com - 不需要 SSL，同 1。
3. http://app.site1.com - 需要 SSL。

问题

1. 我是否需要为此配置购买 2 个通配符证书。一个用于 *.site1.com，一个用于 *.site2.com？
2. 如果我确实获得了两个通配符证书，我是否会配置每个站点以使用它们并假设用户可以选择查看 https://www.site1.com 可以这样做而不会被重定向

Stack 上有很多类似的问题，但要求并不完全相同。见
Hosting multiple sites in IIS 6, one need SSL

---

编辑

Microsoft 对 IIS6 和通配符证书的建议
我找到了一个链接，其中 Microsoft 解释了有关使用通配符证书配置我所描述的场景的更多信息：https://web.archive.org/web/20161114165638/https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/596b9108-b1a7-494d-885d-f8941b07554c.mspx?mfr=true
注意： 如果用户浏览到 https://www.site1.com，我们肯定会遇到这种情况浏览器显示异常（这是正确的），但在接受异常后，它们被重定向到https://app.site1.com。

Answer 1

如果您只需要保护http://app.site1.com，则无需购买通配符 ssl 证书。您可以使用域 SSL 证书简单地保护您的网站。 （推荐的 SSL：RapidSSL 证书、Thawte SSL123、QuickSSL Premium）

假设您的所有三个网站都托管在同一个 IP 地址上。

当用户输入https://www.site1.com 时，他不会重定向到您的https://app.site1.com，但由于IP 地址相同，访问者的浏览器会出现域不匹配错误。

通配符 SSL 只能保护您的主域以及该主域名的无限子域。

示例：site1.com、www.site1.com、mail.site1.com、blog.site1.com

如果您想保护 *site1.com 和 *.site2.com，那么您应该使用多域 SSL 证书而不是通配符 ssl 证书。