IIS7: ไม่สามารถตั้งชื่อโฮสต์บนไซต์ด้วย SSL cert และพอร์ต 443

พิจารณาเครื่อง Win 2008 SP2 ด้วย IIS7 ภารกิจคือการใช้ใบรับรองและชื่อโฮสต์กับไซต์หนึ่งเดียวบนเครื่องนี้ จำเป็นต้องมีส่วนหัวโฮสต์ของเว็บไซต์abc.123.example.com

ขั้นตอนแรกคือการติดตั้ง. pfx ไปยังร้านค้าส่วนตัวซึ่งประสบความสำเร็จ

IIS7 ค้นหาใบรับรองว่าพร้อมใช้งาน แต่จะไม่อนุญาตให้ป้อนชื่อโฮสต์ กล่องข้อความชื่อโฮสต์ถูกปิดใช้งาน / เป็นสีเทาเสมอก่อนที่จะเลือกใบรับรองของฉัน ฉันได้ลบการผูกพอร์ตเริ่มต้น 80 แล้ว

คำถาม:ฉันจะตั้งชื่อโฮสต์สำหรับไซต์นี้ได้อย่างไร มันเป็นเรื่องของการรับรองนี้เป็นใบรับรองตัวแทนหรือไม่? ฉันเข้าใจว่าคำขอ SSL เข้ามาในเว็บเซิร์ฟเวอร์และส่วนหัวโฮสต์ในแพ็กเก็ตนั้นได้รับการเข้ารหัส เหตุใด IIS6 จึงอนุญาตให้ระบุส่วนหัวของโฮสต์ แต่ IIS7 ไม่ได้

อัปเดต:ใบรับรองไม่ใช่ส่วนหนึ่งของปัญหา ฉันได้สร้างไซต์ใหม่บนเครื่องและเมื่อเลือกการเชื่อมโยง https กล่องข้อความชื่อโฮสต์จะถูกปิดใช้งาน

คุณไม่สามารถทำได้จาก UI คุณต้องทำจากบรรทัดคำสั่ง นี่เป็นวิธีที่ดีในการดำเนินการ:

http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html

มันทำงานใน GUI ...

เพียงตรวจสอบให้แน่ใจว่า 'ชื่อที่จำง่าย' ของใบรับรองที่คุณกำลังติดตั้งนั้นเหมือนกับชื่อโดเมนที่คุณสร้างขึ้นสำหรับใบรับรอง

กล่าวคือ * .companydomain.com

ถ้าคุณใส่ 'Nice friendly name' สำหรับ * .companydoman.com cert เมื่อติดตั้งใบรับรองใน IIS มันจะเป็นสีเทาในส่วนหัวของชื่อโฮสต์

ถ้าคุณใช้ * .companyname.com เป็นชื่อที่จำง่ายคุณก็จะเป็นทอง

ความเจริญ

คำตอบสั้น ๆ คือแต่ละ IP สามารถมีใบรับรองได้เพียงหนึ่งรายการเท่านั้นดังนั้นการเชื่อมใบรับรองจะนำไปใช้ไม่ว่าชื่อโฮสต์ใดจะถูกนำไปยังที่อยู่ IP นั้น ความสามารถในการระบุชื่อโฮสต์จะบอกเป็นนัยว่าคุณสามารถมีหลายชื่อโฮสต์และชุดใบรับรองในที่อยู่ IP และพอร์ตเดียวกัน (เท่าที่คุณสามารถทำได้กับรายการที่ไม่ใช่ SSL) แต่นี่ไม่ใช่กรณีดังนั้นจึงไม่มีฟิลด์

คำอธิบายที่สมบูรณ์ยิ่งขึ้นคือ SSL เข้ารหัสการรับส่งข้อมูลของคุณและส่วนหนึ่งของการรับส่งข้อมูลนั้นคือส่วนหัว HTTP ที่เบราว์เซอร์ส่งไปยังเซิร์ฟเวอร์ หนึ่งในส่วนหัวเหล่านั้นจะเป็นส่วนหัว "โฮสต์" ซึ่ง IIS ใช้เพื่อกำหนดว่าไซต์ใดที่จะโหลดด้วยการร้องขอ เนื่องจากต้องโหลดใบรับรองเพื่อสร้างการเชื่อมต่อที่ปลอดภัยก่อนที่จะส่งส่วนหัวคำขอ IIS จึงต้องเลือกใบรับรองตามที่อยู่ IP และหมายเลขพอร์ตโดยปล่อยให้ส่วนหัว "โฮสต์" ออกมาในความเย็นเป็นปัจจัยในการพิจารณา โหลดเว็บไซต์ไหนจึงไม่ยอมให้คุณเข้าไป

นี่คือบทความที่สรุปการทำงานภายในของการเชื่อมต่อ SSLในรายละเอียดปลีกย่อย

คำตอบ SSLShopper ไม่ได้ผลสำหรับฉันเพราะเหลือการเชื่อมต่อโดยไม่มีส่วนหัวของโฮสต์และคุณไม่สามารถลบการเชื่อมโยงนั้นโดยไม่ทำให้การเชื่อมต่อกับใบรับรองเสียหาย นี่คือวิธีที่ฉันใช้เพื่อให้มันทำงาน:

โปรดทราบว่าคำตอบนี้ถือว่าใบรับรองของคุณได้ถูกสร้างขึ้นเพิ่มไปยังที่เก็บใบรับรองและเพิ่มใน IIS นอกจากนี้ยังถือว่าคุณไม่ต้องการให้มีการผูกอื่น ๆ ในเว็บไซต์ของคุณนอกเหนือจาก SSL

ก่อนอื่นเราต้องรวบรวมข้อมูลบางอย่าง เราต้องการแฮช ID แอปพลิเคชันและชื่อโฮสต์

ขั้นตอน

1. เปิด IIS เลือกเซิร์ฟเวอร์ของคุณและดับเบิลคลิกที่ "ใบรับรองเซิร์ฟเวอร์" ในส่วนด้านล่าง บันทึกที่อยู่ "ออกให้" นี่คือชื่อโฮสต์ของเรา บันทึกสิ่งนี้
2. เลือกเว็บไซต์ของคุณ
3. ผูกเว็บไซต์ของคุณเข้ากับพอร์ต 80 โดยใช้โปรโตคอล http
4. ลบการผูกอื่น ๆ ทั้งหมด
5. ผูกเว็บไซต์ของคุณเข้ากับพอร์ต 443 โดยใช้โปรโตคอล https

6. เปิดพรอมต์คำสั่ง

   netsh http show sslcert
   

7. บันทึก Certificate Hash และ Application ID

8. ลบการเชื่อมโยง https ในเว็บไซต์ของคุณ

9. ที่พรอมต์คำสั่ง:

   netsh http add sslcert ipport=0.0.0.0:443 certstorename=my certhash=<put Certificate Hash here> appid={<put Application ID here>}
   
   appcmd set site /site.name:"<put site name here>" /+bindings.[protocol='https',bindingInformation='*:443:<put host name here>']
   

หมายเหตุ: Appcmd.exe สามารถพบได้ใน c: \ windows \ system32 \ insetsrv คุณอาจต้องอยู่ในโฟลเดอร์นั้นเพื่อให้คำสั่งนี้ใช้งานได้

10. ลบการเชื่อมโยง http จากเว็บไซต์ของคุณ

คำตอบที่ยอมรับได้ที่นี่มีความสับสนและฉันไม่คิดว่ามันถูกต้องสำหรับคำถาม ไม่ควรเป็นคำตอบที่ยอมรับได้

ปัญหา

คุณมีไวลด์การ์ด SSL เช่น*.ipsum.comและติดตั้งใบรับรอง แต่คุณไม่สามารถเลือกชื่อโฮสต์สำหรับไซต์ใน IIS เมื่อคุณพยายามเพิ่มการเชื่อมโยง HTTPS เนื่องจากกล่องข้อความเป็นสีเทา

การแก้ไขปัญหา

SSL สัญลักษณ์ตัวแทนของคุณสามารถใช้กับโดเมนย่อยใด ๆ คุณก็ต้องให้แน่ใจว่า*คุณเริ่มต้นชื่อที่เรียกง่ายของใบรับรองด้วย ฉันชอบใช้ชื่อที่เป็นมิตรเดียวกันกับโดเมนไวด์การ์ดเช่น*.ipsum.comแต่คุณสามารถเรียกชื่ออะไรก็ได้ที่มีเครื่องหมายดอกจัน:*foo

ฉันให้ใบรับรองชื่อที่เป็นมิตรผิดช่วยด้วย!

ตั้งแต่ Windows 8 หรือ Server 2012 คุณสามารถพิมพ์certlm.mscในเมนูเริ่มเพื่อจัดการใบรับรองสำหรับเครื่องท้องถิ่น ใน Windows เวอร์ชั่นก่อนหน้าคุณจะต้องทำอะไรที่ซับซ้อนกว่านี้เล็กน้อย:

1. เรียกใช้mmc.exeตั้งแต่เริ่มต้น
2. ไปที่FileเมนูและเลือกAdd/Remove Snap-in...หรือกด(Ctrl-M)
3. ไฮไลต์Certificatessnap-in Add >แล้วกดจากนั้นเลือกComputer Accountตามด้วยLocal Computerในกล่องโต้ตอบที่ตามมาจากนั้นกดแล้วFinishตามด้วยOKเพื่อปิดหน้าต่าง Snap-in

ในหน้าต่างหลักขยายCertificates (Local Computer)จากนั้นจากPersonalนั้นCertificatesคุณจะสามารถคลิกขวาที่ใบรับรองPropertiesซึ่งคุณสามารถอัปเดตชื่อที่จำง่ายได้

ปิดและเปิดตัวจัดการ IISและจากนั้นคุณสามารถตั้งชื่อโฮสต์ของคุณ

ที่จริงแล้วคุณสามารถเพิ่มส่วนหัวของโฮสต์ผ่านทาง gui แต่มันขึ้นอยู่กับวิธีการตั้งชื่อใบรับรอง ... ถ้าฉันให้ชื่อ * .xyz.com ที่เป็นมิตรกับตัวแทน wildcard ของฉันและเลือกใบรับรองนั้นจากนั้นฉันก็เป็น สามารถใช้ gui ได้ หากชื่อที่เป็นมิตรคือ xyzwildcard และฉันเลือกมันแล้วมันจะทำให้ช่อง hostheader เป็นสีเทา ...

แปลก ๆ แปลก ๆ

เครื่องบางเครื่องไม่อนุญาตให้คุณแก้ไขชื่อโฮสต์หากเปลี่ยนโปรโตคอลเป็น https หรือหลังจากเพิ่มใบรับรอง SSL IIS อาจไม่พอใจในบางครั้ง

คำสั่ง Windows นี้จะสร้างการเชื่อมโยงใหม่กับโปรโตคอล "https" บนพอร์ต "443", ชื่อโฮสต์ "subdomain.domain.com", ชื่อไซต์ "ชื่อไซต์" เปลี่ยนค่าเหล่านั้น (ในเครื่องหมายคำพูด) เพื่อตอบสนองความต้องการของคุณ จากนั้นคุณจะต้องลบการเชื่อมเก่าหากใช้พอร์ต 443

Run Windows Command Prompt as Administrator

C:>cd C:\Windows\System32\inetsrv

C: \ Windows \ System32 \ inetsrv>appcmd set site /site.name:"site_name" /+bindings.[protocol='https',bindingInformation='*:443:subdomain.domain.com']

ชื่อโฮสต์สามารถเพิ่มได้เมื่อทอดชื่อของใบรับรองที่เลือกจะเหมือนกับชื่อโฮสต์ * .xyz.com และคุณสามารถเปลี่ยนชื่อชื่อที่จำง่ายของใบรับรองเป็น * .xyz.com จาก mmc (สแนปอิน)

ฉันคิดว่าบทความ KB นี้จะให้ความกระจ่างในเรื่องนี้ โดยสรุปส่วนหัวโฮสต์ HTTP 1.1 ไม่ได้รับการสนับสนุนเมื่อคุณใช้ SSL

สิ่งที่อาจจะทำให้สำเร็จในสิ่งที่คุณต้องการคือการใช้คีย์ metabase SecureBindings เช่น cscript.exe adsutil.vbs ตั้งค่า / w3svc / เว็บไซต์ ID / SecureBindings "ip.ip.ip.ip: 443: abc.123.mysite.com

เหตุใด MS จึงใช้ GUI นี้เกินกว่าฉันเนื่องจากหากคุณมีแอปพลิเคชัน ASP.NET ที่ใช้ประโยชน์จากไฟล์ลิขสิทธิ์ (licx) เว็บไซต์ของคุณจะไม่ทำงานเพราะปรากฏเป็นที่อยู่ IP แทนชื่อโดเมน . พวกเขาจำเป็นต้องหยุดการสันนิษฐานในซอฟต์แวร์รุ่นใหม่ทุกครั้ง - ผู้ใช้ไอทีไม่จำเป็นต้องดูแลโดย Microsoft! โธ่!

1. ฉันสร้างใบรับรองที่เซ็นชื่อเองด้วย * .testcompany.com ฉันเลือกที่สร้างขึ้นใหม่ (เริ่มต้นด้วย *) ในดรอปดาวน์ Edit SSL SSL certificate ฉันได้เปิดใช้งานกล่องข้อความชื่อโฮสต์สร้างชื่อโฮสต์เป็น 'webapi.b2c .com'

2. ฉันอัปเดตไฟล์โฮสต์ใน C: \ Windows \ System32 \ drivers \ etc 127.0.0.1 webapi.b2c.com

ตอนนี้ฉันสามารถเรียกดูเว็บไซต์เป็น ' https://webapp.b2c.com/ '