Налаштування IIS 7.5 з декількома прив'язками веб-сайтів та SSL?


11

На IIS 7.5 я намагаюся досягти цього за допомогою двох веб-сайтів:

Default Web Site is bound to:

(blank host header port 80 - http)
(blank host header port 443 - https)
go.example.com
www71.example.com
the IP address of go.example.com

2nd web site "Beta" is bound to:

beta.example.com
(blank host header port 443 - https)
* using blank only because it doesn't seem to be possible to 
  bind https to a named host header

І обом потрібно працювати з SSL. Але у мене є такі проблеми:

  1. Коли я набираю beta.example.com, я бачу веб-сайт go.example.com
  2. Я, здається, не можу додати SSL-прив'язку до обох веб-сайтів одночасно (у мене є єдиний * .example.com сертифікат підстановки). Бета-сайт навіть не запуститься, якщо я додаю до нього прив'язку https.

Ось як я це налаштував:

введіть тут опис зображення

Який правильний спосіб його налаштувати?

Відповіді:


8

Без розширень SNI ви можете прив’язати лише один сертифікат SSL за пару IP-портів. Якщо вам потрібно запустити 2 HTTPS на одному і тому ж IP - прив'яжіть їх до різних портів, а потім зверніться до такого сайту, що надає порт в URL (наприклад https://beta.example.com:444/). Ви можете використовувати один і той же сертифікат підстановки на різних портах без жодних проблем.

Якщо у вас є більше одного сайту з порожнім іменем хоста (для протоколу HTTP), то той, який має нижчий ідентифікатор, повинен бути "уловлювати всіх". Те саме стосується HTTPS - той, хто має менший ідентифікатор, повинен перехоплювати всі запити на цьому порту.

З іншого боку, у вас є сертифікат підстановки, і я побачив одну статтю, яка говорить про те, що це можна зробити в IIS7: http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html . Я сам пробував це раніше, але це не спрацювало для мене - досить часто IIS кидав помилку 5xx при доступі навіть до статичних файлів (що припиняється, коли ми прив'язуємо інший хост до іншого порту). Можливо, це було виправлено з тих пір.



2

Хоча це питання старіше, у мене була потреба здійснити те саме нещодавно. Це можна зробити під IIS 7.x, використовуючи сертифікати альтернативного імені тематики. Ці сертифікати є кращими для макіяжних кодів, оскільки вони обмежуватимуться лише певними переліченими сайтами, тим самим пом’якшуючи атаки, засновані на підробці фальшивого імені сайту в домені, захопленому під шаблоном.

Після імпорту сертифіката SAN в IIS ви можете використовувати інструмент appcmd, щоб вказати додаткове прив'язування або вручну редагувати applicationHost.config в розділі, наприклад

<site name="SomeSite" id=9>
   <bindings>
     <binding protocol="http" bindingInformation="*:80:SomeSite"/>
     <binding protocol="https" bindingInformatoin="*:443:SomeSite" />
   </bindings>
</site>
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.