Невідповідність імені SSL-сервера як обійти ie11


12

У нас є додаток, і насправді довга історія полягає в тому, що все має бути налаштовано таким чином, щоб решта програми не вийшла з ладу.

У нас є домен

https: // server01 / AppNet

У IIS прив'язка 443 налаштована на використання cert з:

CN = сервер02

Коли я потрапив на сторінку для

https: // server01 / AppNet

Я отримую попередження про SSL

введіть тут опис зображення

Я знайшов цю статтю

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Але хотілося б уникнути частини про:

"На жаль, він також зупинить браузер скаржитися на невідповідність адрес на будь-якому іншому веб-сайті, який ви відвідуєте. Це менше, ніж ідеально, але це такий вид компромісу, який ви маєте зробити, коли використовуєте IE."

Я також дотримувався наведених нижче кроків, однак все ще дають помилку

Виправлення 1 - Встановіть сертифікат

Клацніть правою кнопкою миші піктограму «Internet Explorer» та виберіть «Запустити як адміністратор».

Зайдіть на веб-сайт і оберіть опцію "Продовжити на цьому веб-сайті (не рекомендується)".

Клацніть, де в адресному рядку написано "Помилка сертифіката", а потім виберіть "Переглянути сертифікати".

Виберіть "Встановити сертифікат ...".

Виберіть "Далі".

Виберіть опцію "Розмістити всі сертифікати в наступному магазині".

Виберіть "Огляд ...".

Виберіть "Довірені кореневі органи сертифікації", а потім виберіть "OK".

Виберіть "Так", коли буде запропоновано попередження безпеки.

Виберіть "ОК" у повідомленні "Імпорт був успішним"

Виберіть "ОК" у полі "Сертифікат".

Це лише для внутрішньої мережі

Чи можна щось додати до IIS?

Чи можна щось додати до DNS?

Будь-яка інша робота оточує?


Чи можете ви сказати користувачеві для доступу до URI сервера2? це дозволить вам просто додати запис DNS-сервера2, що вказує на server1
yagmoth555

Я не впевнений, що ти маєш на увазі? URI сервера2?
Ентоні Форніто

2
Чи можете ви детальніше пояснити, чому він повинен бути налаштований таким очевидно розбитим способом, з сертом, який не відповідає? Це не здається розумною відправною точкою.
Хокан Ліндквіст

Я знаю, сервер01 розміщує масив застарілих додатків, які мають спілкуватися із зовнішніми ресурсами; ці ресурси використовують користувачеві сервер01 для свого ssl. Додаток розміщено на сервері01, однак доменне ім’я переспрямовано на сервер02, розміщений у тому ж полі, я не отримуйте ssl попередження під час переходу на сервер02 / AppNet через збіг CN, проте при натисканні Server01 / AppNet я отримую помилку через невідповідність CN, тому коротко кажучи, те, що я хотів би зробити, це ігнорувати помилку за це name / ssl,
Ентоні Форніто

1
Що стосується цитованого рішення, включеного у запитання, то це рішення для попередження про ненадійний сертифікат. Не стосується різного сценарію сертифіката з неправильною назвою теми.
Хокан Ліндквіст

Відповіді:


14

Якщо у вас є доступ до створення ваших сертифікатів для цього сервера, я пропоную вам створити сертифікат, який містить альтернативні імена, якими може бути відомий сервер. Таким чином браузер автоматично вирішить правильну назву.

З https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Сертифікат SAN (Сертифікат альтернативного імені предмета)

Ви можете встановити сертифікат підстановки, якщо доменне ім’я для всіх сайтів однакове і зміниться субдомен першого рівня. Що робити, якщо ви хочете створити сайти, які повинні працювати на двох різних доменних іменах, наприклад, веб-сайт із заголовком хосту як www.testserver1.com та інший сайт з hostheader як www.testserver2.com. У цьому випадку сертифікат Wildcard не допоможе вам. Для вирішення цієї проблеми у нас є сертифікат SAN.

Сертифікат SAN дозволяє захистити кілька доменних імен одним сертифікатом. Наприклад, ви можете отримати сертифікат для myserver.com, а потім додати більше значень SAN, щоб той самий сертифікат захистив myserver.org, myserver.net і навіть myserver2.com або www.example.com.

Ви можете побачити доменні імена в опції Subject Alternative Name в сертифікаті


Так, це була моя перша думка, і, можливо, моя єдина альтернатива, я сподівався, що вдасться розібратися у вирішенні проблеми, оскільки власник сервера не входить, але якщо я нічого не дізнаюсь сьогодні, я зроблю це завтра і побачу, чи працює він.
Ентоні Форніто

Зрештою, ви нічого не можете зробити, окрім відключення всіх перевірок імені хоста, що, як ви вказали, не є найкращою практикою. Деякі браузери дозволяють назавжди ігнорувати цю перевірку безпеки, але IE з пам’яті не надає цього варіанту
sweetfa
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.