IIS 7.5 - não é possível configurar dois Certificados SSL sob um endereço IP?

3

Estamos configurando HTTPS para todos os nossos sites. Infelizmente eu não sou realmente experiente no IIS.

Eu tenho dois certificados, um é um certificado EV-UCC com 10 subdomínios incluídos. os subdomínios são de dois domínios diferentes como este:

shop.abcdomain.com
www.xzydomain.com

Eu também tenho um certificado curinga para um desses domínios *.abcdomain.com

os dois domínios são executados no mesmo servidor IIS sob o mesmo endereço IP.

Quando atribuo o certificado curinga a alguns dos meus sites, tudo funciona bem, mas quando desejo atribuir o certificado EV-UCC a outro site que está na mesma coleção "sites" do IIS, recebo o seguinte erro

At least one other site is using the same HTTPS binding and the binding is configured with a different certificate

Estou um pouco confuso com isso. Por que não posso atribuir dois certificados diferentes no mesmo IIS? Pode ser apenas um certificado SSL em um IIS? Em caso afirmativo, existe uma solução alternativa para fazer o IIS pensar que ele pode ter dois certificados SSL?

Estou executando o IIS 7.5 no Windows Server 2008 R2

    
por SimonS 02.03.2016 / 19:58

1 resposta

6

Originalmente, apenas um certificado SSL pode ser atribuído à mesma combinação IP / Porta. Isso ocorre porque o cabeçalho do host é criptografado e a camada HTTP não pode adivinhar qual host é solicitado e qual certificado deve ser apresentado ao cliente.

If so, is there a workaround to make IIS think he can carry two SSL certificates?

Não, não há soluções alternativas no Windows Server 2008 R2. No entanto, a partir do Windows Server 2012 (IIS8), há uma maneira de vincular vários certificados à mesma combinação de IP / Porta usando Indicação do nome do servidor (SNI) Extensão TLS. Ao contrário do SSL / TLS original, o SNI usa o cabeçalho do host não criptografado. As versões do IIS anteriores ao IIS8 não oferecem suporte a cabeçalhos não criptografados. mais leitura: link

Como alternativa, você pode vincular seus serviços a diferentes portas TCP e atribuir certificados a cada porta.

    
por 02.03.2016 / 20:59