Adicionando vários sites com diferentes certificados SSL no IIS 7

Navegue suas respostas
4

Estou com problemas usando o SSL para dois sites diferentes no meu servidor IIS 7. Por favor, veja minha configuração abaixo:

site1: my.corporate.portal.com

Certificado SSL para website1: * .corporate.portal.com

link

website2: client.portal.com Certificado SSL emitido para: client.portal.com Quando tento vincular https no IIS7 com o certificado do cliente, não tenho uma opção para colocar o nome do host (esmaecido) e assim que seleciono o certificado 'client.portal.com', estou recebendo o seguinte erro no IIS: 

At least one other site is using the same HTTPS binding
and the binding is configured with a different certificate.
Are you sure that you want to reuse this HTTPS binding 
and reassign the other site or sites to use the new certificate?

Se eu clicar em "sim", o site my.corporate.portal.com deixará de usar o certificado SSL adequado.

Você poderia sugerir algo?

    
por Timka 08.11.2012 / 18:32

2 respostas

-1

Implementando o Elastic Load Balancing para a instância da Amazon resolve o problema ( link )

    
por 12.11.2012 / 17:30
6

Geralmente, um IP separado é necessário para cada site SSL, portanto, se você tentar vincular-se ao mesmo IP, verá o erro acima.

Isso se deve à maneira como o SSL funciona. O servidor não consegue ler o cabeçalho do host HTTP durante o processo de handshake, portanto, não pode usar essas informações de cabeçalho para escolher qual site (e certificado) usar. Portanto, os certificados no IIS são basicamente vinculados por IP, em vez de por site.

Se você tiver um certificado curinga ou um certificado ASN que se aplique a vários sites, configure-o da seguinte maneira:

  1. Vincular certificado ao primeiro site no IP
  2. Para sites de cabeçalho de host, execute o seguinte comando na pasta inetsrv: appcmd set site /site.name:"<IISSiteName>" /+bindings.[protocol='https',bindingInformation='*:443:<hostHeaderValue>']

Substitua e com os valores apropriados (Website1 e www.example.com, por exemplo).

SNI é suportado no IIS8 para permitir vários sites SSL não relacionados no mesmo IP. Observe que o SNI só é suportado em navegadores modernos, por isso pode causar problemas se você estiver executando um site comercial com um público amplo, como usuários do Windows XP executando versões mais antigas do Internet Explorer.

    
por 08.11.2012 / 21:34

Tags

Deixar os usuários fazerem suas próprias mudanças no dns? Qualquer software disponível para gerenciar essa situação complicada? Como obter o kickstart do CentOS 6 para solicitar o hostname?