Регистрация Войти
Рейтинг:0
Jimbot avatar Server

IIS 10 — HTTPS с подстановочным знаком не обслуживает хороший сертификат (SNI)

флаг cn
Jimbot

У меня есть только два сайта IIS:

  • subdomain.domain1.com
  • subdomain.domain2.com

И два сертификата:

  • subdomain.domain1.com один стандартный
  • *.domain2.com один подстановочный знак

По какой-то странной причине сайт с подстановочным знаком выглядит правильно настроенным как в консоли, так и в netsh http показать sslcert, но когда я захожу на сайт в любом браузере, происходит сбой с ошибкой NET::ERR_CERT_COMMON_NAME_INVALID. Когда я проверяю сертификат, он указывает subdomain.domain1.com. Другой сайт (subdomain.domain1.com) работает отлично и был создан первым.

Результат netsh http показать sslcert :

Привязки сертификатов SSL:
----------------------------

    IP:Порт: subdomain.domain1.com:443
    Хэш сертификата: e36cffe0f7a817ca39dca65955a194d83671dd67
    Идентификатор приложения: {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Имя хранилища сертификатов: Мой
    Проверка отзыва сертификата клиента: включено
    Проверка отзыва с использованием только кэшированного сертификата клиента: отключено
    Проверка использования: включено
    Время актуальности отзыва: 0
    Время ожидания получения URL: 0
    Идентификатор Ctl: (нулевой)
    Имя хранилища Ctl: (null)
    Использование DS Mapper: отключено
    Согласование сертификата клиента: отключено
    Отклонение подключений: отключено
    Отключить HTTP2: не установлено
    Отключить QUIC: не установлено
    Отключить TLS1.2: не установлено
    Отключить TLS1.3: не установлено
    Отключить сшивание OCSP: не установлено
    Отключить устаревшие версии TLS: не задано

    IP:Порт: subdomain.domain2.com:443
    Хэш сертификата: 7c681697ebed1bd653bb08bcbec5cb719795eb64
    Идентификатор приложения: {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Имя хранилища сертификатов :: Мой
    Проверка отзыва сертификата клиента: включено
    Проверка отзыва с использованием только кэшированного сертификата клиента: отключено
    Проверка использования: включено
    Время актуальности отзыва: 0
    Время ожидания получения URL: 0
    Идентификатор Ctl: (нулевой)
    Имя хранилища Ctl: (null)
    Использование DS Mapper: отключено
    Согласование сертификата клиента: отключено
    Отклонение подключений: отключено
    Отключить HTTP2: не установлено
    Отключить QUIC: не установлено
    Отключить TLS1.2: не установлено
    Отключить TLS1.3: не установлено
    Отключить сшивание OCSP: не установлено
    Отключить устаревшие версии TLS: не задано

Я понятия не имею, почему это произошло, флажок SNI установлен. Я безуспешно пытался:

  • удаление, привязка и воссоздание ее через PowerShell.
  • iisreset
  • перезагрузка сервера

Любая подсказка? Спасибо

125
0 + 0
iis
Lex Li avatar
флаг vn
Lex Li
Сопоставления сертификатов HTTP API кажутся правильными.Я бы использовал такой инструмент, как Wireshark, для захвата пакетов рукопожатия TLS, чтобы узнать, какое именно имя хоста. Мне кажется, что браузер может быть сбит с толку и отправить неправильное имя хоста.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.