Configurare IIS 7.5 con più collegamenti a siti Web e SSL?

11

Su IIS 7.5 sto cercando di raggiungere questo obiettivo con due siti Web:

Default Web Site is bound to:

(blank host header port 80 - http)
(blank host header port 443 - https)
go.example.com
www71.example.com
the IP address of go.example.com

2nd web site "Beta" is bound to:

beta.example.com
(blank host header port 443 - https)
* using blank only because it doesn't seem to be possible to 
  bind https to a named host header

Ed entrambi devono lavorare con SSL. Ma ho questi problemi:

  1. Quando scrivo beta.example.com, vedo invece il sito go.example.com
  2. Non riesco ad aggiungere l'associazione SSL a entrambi i siti Web contemporaneamente (ho un singolo certificato jolly * .example.com). Il sito beta non si avvia nemmeno se aggiungo il collegamento https ad esso.

Ecco come l'ho impostato:

inserisci qui la descrizione dell'immagine

Qual è il modo corretto di configurarlo?

iis  ssl  configuration  hostname  bindings 
JK01
fonte

Risposte:

8

Senza estensioni SNI , è possibile associare un solo certificato SSL per IP: coppia di porte. Se è necessario eseguire 2 HTTPS sullo stesso IP, associarli a porte diverse e quindi fare riferimento a tale sito fornendo la porta nell'URL (ad es https://beta.example.com:444/.). È possibile utilizzare lo stesso certificato jolly su porte diverse senza alcun problema.

Se hai più di un sito con nome host vuoto (per protocollo HTTP), quello con ID inferiore dovrebbe essere un "catch all". Lo stesso vale per HTTPS: quello con ID inferiore dovrebbe intercettare tutte le richieste su quella porta.

D'altra parte, hai un certificato jolly e ho visto un articolo che dice che questo può essere fatto in IIS7: http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html . L'ho provato io stesso in passato, ma non ha funzionato bene per me - abbastanza spesso IIS stava lanciando un errore 5xx quando si accedeva anche ai file statici (che ha smesso di accadere quando abbiamo associato un altro host a una porta diversa). Forse è stato corretto da allora.

LazyOne
fonte
3

Anche se questa è una domanda più vecchia, avevo bisogno di realizzare la stessa cosa solo di recente. Può essere eseguito in IIS 7.x utilizzando i certificati Nome alternativo soggetto. Questi certificati sono preferibili ai caratteri jolly perché si limiteranno ai soli siti specificatamente elencati, mitigando così gli attacchi basati sullo spoofing di un nome di sito fasullo all'interno di un dominio acquisito con un carattere jolly.

Una volta importato il certificato SAN in IIS, è possibile utilizzare lo strumento appcmd per specificare l'associazione aggiuntiva o modificare manualmente applicationHost.config all'interno della sezione, ad es.

<site name="SomeSite" id=9>
   <bindings>
     <binding protocol="http" bindingInformation="*:80:SomeSite"/>
     <binding protocol="https" bindingInformatoin="*:443:SomeSite" />
   </bindings>
</site>
David W.
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.