Thiết lập IIS 7.5 với nhiều ràng buộc trang web và SSL?


11

Trên IIS 7.5 tôi đang cố gắng đạt được điều này với hai trang web:

Default Web Site is bound to:

(blank host header port 80 - http)
(blank host header port 443 - https)
go.example.com
www71.example.com
the IP address of go.example.com

2nd web site "Beta" is bound to:

beta.example.com
(blank host header port 443 - https)
* using blank only because it doesn't seem to be possible to 
  bind https to a named host header

Và cả hai cần phải làm việc với SSL. Nhưng tôi có những vấn đề này:

  1. Khi tôi gõ vào beta.example.com, tôi thấy trang web go.example.com thay thế
  2. Tôi dường như không thể thêm ràng buộc SSL vào cả hai trang web cùng một lúc (tôi có một chứng chỉ ký tự đại diện * .example.com). Trang web beta thậm chí sẽ không bắt đầu nếu tôi thêm liên kết https vào nó.

Đây là cách tôi đã thiết lập nó:

nhập mô tả hình ảnh ở đây

Cách chính xác để thiết lập nó là gì?

Câu trả lời:


8

Nếu không có tiện ích mở rộng SNI , bạn chỉ có thể liên kết một chứng chỉ SSL cho mỗi cặp IP: cổng. Nếu bạn cần chạy 2 HTTPS trên cùng một IP - liên kết chúng với các cổng khác nhau và sau đó tham khảo cổng cung cấp trang web đó trong URL (ví dụ https://beta.example.com:444/). Bạn có thể sử dụng cùng một chứng chỉ ký tự đại diện trên các cổng khác nhau mà không gặp vấn đề gì.

Nếu bạn có nhiều hơn một trang web có tên máy chủ trống (đối với giao thức HTTP), thì trang web có ID thấp hơn sẽ là "bắt tất cả". Điều tương tự cũng xảy ra với HTTPS - người có ID thấp hơn sẽ chặn tất cả các yêu cầu trên cổng đó.

Mặt khác, bạn có chứng chỉ ký tự đại diện và tôi đã thấy một bài viết cho biết điều này có thể được thực hiện trong IIS7: http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html . Trước đây tôi đã thử nó, nhưng nó không hoạt động tốt với tôi - thường thì IIS đã gặp lỗi 5xx khi truy cập ngay cả các tệp tĩnh (điều này đã dừng xảy ra khi chúng tôi liên kết một máy chủ khác với một cổng khác). Có lẽ nó đã được sửa chữa kể từ đó.



3

Mặc dù đây là một câu hỏi cũ hơn, tôi đã có nhu cầu hoàn thành điều tương tự chỉ mới gần đây. Nó có thể được thực hiện trong IIS 7.x bằng cách sử dụng chứng chỉ Tên thay thế chủ đề. Các chứng chỉ này thích hợp hơn cho các ký tự đại diện vì nó sẽ tự giới hạn chỉ các trang web được liệt kê cụ thể, do đó giảm thiểu các cuộc tấn công dựa trên việc giả mạo tên trang web không có thật trong một tên miền được ghi dưới ký tự đại diện.

Khi chứng chỉ SAN được nhập vào IIS, bạn có thể sử dụng công cụ appcmd để chỉ định ràng buộc bổ sung hoặc chỉnh sửa thủ công apphost.config trong phần, ví dụ:

<site name="SomeSite" id=9>
   <bindings>
     <binding protocol="http" bindingInformation="*:80:SomeSite"/>
     <binding protocol="https" bindingInformatoin="*:443:SomeSite" />
   </bindings>
</site>
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.