Регистрация Войти
Рейтинг:1
dcol avatar Server

IIS обслуживает неправильный сертификат, используя SNI или CCS

флаг bd
dcol

У меня есть 3 веб-сайта, использующих один и тот же IP-адрес в IIS 10. Сначала я настраиваю привязки https для использования SNI со «всеми назначенными» IP-адресами на порту 443 с использованием правильного сертификата. Все сертификаты известны.Только один веб-сайт получает правильный сертификат SSL. Два других получают тот же сертификат, что и рабочий сайт. Тогда я перешел на CCS. Загрузил все мои сертификаты в одну папку с правильными именами. Изменены сайты с SNI на CCS. Пока работает только один сайт. Пробовал чистить кеш клиента. Кстати, все это работало нормально в течение нескольких месяцев до прошлых выходных, и я не вносил никаких изменений в сервер. Возможно, было получено обновление Windows 2019. Любые предложения о том, что я могу сделать дальше? Вот результаты нетша Работающий сайт имеет подстановочный сертификат от Sectigo. Два других — от Let’s Encrypt. Доменные имена на всех трех разные.

IP:порт: 0.0.0.0:8172
Хэш сертификата: d97778af0d232c0c2494eee481df37e5127425c9
Идентификатор приложения: {00000000-0000-0000-0000-000000000000}
Имя хранилища сертификатов: MY
Проверка отзыва сертификата клиента: включено
Проверка отзыва с использованием только кэшированного сертификата клиента: отключено
Проверка использования: включено
Время актуальности отзыва: 0
Время ожидания получения URL: 0
Идентификатор Ctl: (нулевой)
Имя хранилища Ctl: (null)
Использование DS Mapper: отключено
Согласование сертификата клиента: отключено
Отклонение подключений: отключено
Отключить HTTP2: не установлено
Отключить QUIC: не установлено
Отключить TLS1.2: не установлено
Отключить TLS1.3: не установлено
Отключить сшивание OCSP: не установлено
Отключить устаревшие версии TLS: не задано

IP:порт: 192.168.20.34:443
Хэш сертификата: 211a5fb41e576e85c023f68452d77a91fc13b1eb
Идентификатор приложения: {4dc3e181-e14b-4a21-b022-59fc669b0914}
Имя хранилища сертификатов: Мой
Проверка отзыва сертификата клиента: включено
Проверка отзыва с использованием только кэшированного сертификата клиента: отключено
Проверка использования: включено
Время актуальности отзыва: 0
Время ожидания получения URL: 0
Идентификатор Ctl: (нулевой)
Имя хранилища Ctl: (null)
Использование DS Mapper: отключено
Согласование сертификата клиента: отключено
Отклонение подключений: отключено
Отключить HTTP2: не установлено
Отключить QUIC: не установлено
Отключить TLS1.2: не установлено
Отключить TLS1.3: не установлено
Отключить сшивание OCSP: не установлено
Отключить устаревшие версии TLS: не задано

Центральное хранилище сертификатов: 443
Хэш сертификата: (нулевой)
Идентификатор приложения: {4dc3e181-e14b-4a21-b022-59fc669b0914}
Имя хранилища сертификатов: (нулевое)
Проверка отзыва сертификата клиента: включено
Проверка отзыва с использованием только кэшированного сертификата клиента: отключено
Проверка использования: включено
Время актуальности отзыва: 0
Время ожидания получения URL: 0
Идентификатор Ctl: (нулевой)
Имя хранилища Ctl: (null)
Использование DS Mapper: отключено
Согласование сертификата клиента: отключено
Отклонение подключений: отключено
Отключить HTTP2: не установлено
Отключить QUIC: не установлено
Отключить TLS1.2: не установлено
Отключить TLS1.3: не установлено
Отключить сшивание OCSP: не установлено
Отключить устаревшие версии TLS: не задано
155
0 + 0
iis
Lex Li avatar
флаг vn
Lex Li
Вы проверили настройки Windows HTTP API через `netsh`?
0
Ответить
dcol avatar
флаг bd
dcol
Да, все они выглядят хорошо, используя «netsh http show sslcert».
0
Ответить
Lex Li avatar
флаг vn
Lex Li
А что, если вы измените файл hosts на этом сервере (для локальной эмуляции трех доменов) и протестируете три сайта с помощью браузера на самом сервере? Это дает ту же ошибку?
0
Ответить
dcol avatar
флаг bd
dcol
Пробовал это. Итак, что я сделал, так это переместил эти сайты на новый IP-адрес на том же сервере. Теперь они работают. Я не могу использовать один и тот же IP-адрес для всех трех сайтов даже с SNI или CCS.
0
Ответить
Michael Hampton avatar
флаг cz
Michael Hampton
Это противоречит самой цели SNI, которая заключалась в том, чтобы позволить нескольким HTTPS-сайтам использовать один и тот же IP-адрес. Здесь все еще есть проблема. Я администратор Linux, поэтому я не могу вам сказать, что именно. Хотя кто-то должен уметь это делать.
0
Ответить
Lex Li avatar
флаг vn
Lex Li
@dcol «Пробовал», так что результат? В любом случае, поскольку изменение IP-адреса в привязках решает проблему, я думаю, у вас что-то не так с настройками DNS. Но как возникла эта проблема, пока неизвестно. На вашем месте я должен был захватить пакеты рукопожатия TLS и провести дальнейший анализ, чтобы выяснить причину (пакеты рукопожатия содержат достаточно информации о том, как должен реагировать SNI/CCS). Но теперь вы, по крайней мере, нашли решение.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.