Nome server SSL non corrispondente a come ignorare ie11


12

Abbiamo un'app e la lunga storia è che le cose devono essere configurate in questo modo affinché il resto dell'app non fallisca.

Abbiamo un dominio

https: // server01 / AppNet

In IIS l'associazione 443 è impostata per utilizzare un certificato con:

CN = server02

Quando ho colpito la pagina per

https: // server01 / AppNet

Ricevo un avviso SSL

inserisci qui la descrizione dell'immagine

Ho trovato questo articolo

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Ma vorrei evitare la parte relativa a:

"Sfortunatamente, eviterà anche al browser di lamentarsi della mancata corrispondenza degli indirizzi su ogni altro sito che visiti. È meno che ideale, ma è il tipo di compromesso che puoi fare quando usi IE."

Ho anche seguito i passaggi descritti di seguito, ma ancora dare errore

Correzione 1: installazione del certificato

Fare clic con il tasto destro sull'icona "Internet Explorer", quindi selezionare "Esegui come amministratore".

Visitare il sito Web e selezionare l'opzione "Continua su questo sito Web (non consigliato)".

Fai clic nel punto in cui è indicato "Errore certificato" nella barra degli indirizzi, quindi seleziona "Visualizza certificati".

Seleziona "Installa certificato ...".

Seleziona "Avanti".

Seleziona l'opzione "Posiziona tutti i certificati nel seguente negozio".

Seleziona "Sfoglia ...".

Scegli "Autorità di certificazione radice attendibili", quindi seleziona "OK".

Selezionare "Sì" quando richiesto con l'avviso di sicurezza.

Selezionare "OK" sul messaggio "L'importazione è stata eseguita correttamente"

Selezionare "OK" nella casella "Certificato".

Questo è solo per la rete interna

C'è qualcosa che posso aggiungere a IIS?

C'è qualcosa che posso aggiungere al DNS?

Qualche altra soluzione?


Puoi dire all'utente di accedere all'URI server2? che ti consentirà semplicemente di aggiungere la voce DNS di un server2 che punta a server1
yagmoth555

Non sono sicuro di cosa intendi? URI Server2?
Anthony Fornito,

2
Puoi spiegarci perché deve essere impostato in questo modo ovviamente rotto, con un certificato che non corrisponde? Non sembra un ragionevole punto di partenza.
Håkan Lindqvist,

Lo so, server01 ospita una serie di applicazioni legacy che devono parlare con risorse esterne, quelle risorse usano devono usare server01 per il loro SSL, l'applicazione è ospitata su server01 tuttavia il nome di dominio viene reindirizzato a server02 ospitato sulla stessa casella, I non ricevere un avviso ssl quando si va su server02 / AppNet a causa della corrispondenza CN, tuttavia quando si colpisce Server01 / AppNet ottengo l'errore a causa della mancata corrispondenza CN, quindi in breve ciò che vorrei poter fare è ignorare l'errore per quello name / ssl,
Anthony Fornito,

1
Per quanto riguarda la soluzione citata inclusa nella domanda, si tratta di una soluzione alternativa per un avviso su un certificato non attendibile. Non pertinente al diverso scenario di un certificato con il nome soggetto errato.
Håkan Lindqvist,

Risposte:


14

Se hai accesso per creare i tuoi certificati per quel server, ti suggerisco di creare un certificato che includa nomi alternativi che il server potrebbe essere conosciuto come. In questo modo il browser risolverà automaticamente il nome corretto.

Da https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Certificato SAN (certificato con nome alternativo soggetto)

È possibile impostare il certificato con caratteri jolly se il nome di dominio per tutti i siti è uguale e il sottodominio di primo livello cambia. Che cosa succede se si desidera impostare i siti che dovrebbero funzionare su due nomi di dominio diversi, ad esempio un sito con intestazione host come www.testserver1.com e un altro sito con hostheader come www.testserver2.com. In questo caso il certificato Wildcard non ti aiuterà. Per risolvere questo problema abbiamo il certificato SAN.

Un certificato SAN consente di proteggere più nomi di dominio con un singolo certificato. Ad esempio, è possibile ottenere un certificato per myserver.com e quindi aggiungere più valori SAN per avere lo stesso certificato per proteggere myserver.org, myserver.net e persino myserver2.com o www.example.com.

È possibile visualizzare i nomi di dominio nell'opzione Nome alternativo soggetto nel Certificato


Sì, questo è stato il mio primo pensiero e forse la mia unica alternativa, speravo di essere in grado di trovare una soluzione alternativa perché il proprietario del server non è presente, ma se non scopro nulla oggi lo farò domani e vedrò se funziona.
Anthony Fornito,

Non c'è niente che tu possa fare alla tua fine tranne disabilitare tutto il controllo del nome host, che, come hai indicato, non è la migliore pratica. Alcuni browser consentono di ignorare definitivamente questo controllo di sicurezza, ma dalla memoria IE non fornisce questa opzione
sweetfa
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.