IIS7: Как связать сертификат SSL с заголовком узла Https?

Question

У меня есть следующая веб-ферма:

1. http: mydomain1.com port: 80
2. http: mydomain2.com port: 80
3. https: port: 443 SSL Certificate: myCertificate

В II7 при выборе привязки https имя хоста будет отключено. Я использовал appcmd, чтобы привязать имя хоста "admin.mydomain2.com" к сайт.

appcmd set site /site.name:"admin" /+bindings.[protocol='https',bindingInformation='*:443:admin.mydomain2.com']

Новый элемент был добавлен в привязки.

3. a. https: port: 443 SSL Certificate: myCertificate
   b. https: admin.mydomain2.com port:443 SSL Certificate: None

Если, например, я хочу удалить первый элемент (a), можно ли назначить сертификат для второго связывания (b)?

Answer 1

Ссылки как ответы - не лучший способ сделать это, потому что часто эти ссылки становятся холодными. Вот краткое изложение ответа, опубликованного выше, а также подтверждающая информация из других источников.

Когда дело доходит до SSL, заголовки хостов действительно остаются на холоде. Цель SSL - зашифровать ваш трафик, и частью этого трафика являются заголовки HTTP, отправляемые браузером на сервер. Одним из таких заголовков может быть заголовок «Host», который IIS использует для определения сайта, загружаемого с запросом. Поскольку сертификат должен быть загружен для установления безопасного соединения ДО отправки заголовков запроса, IIS должен выбрать сертификат на основе только IP-адреса и номера порта, что делает заголовок узла бесполезным. Это, однако, не освобождает нас от необходимости соблюдать STIG v6724, поскольку оно относится к конфигурации сайта IIS. Таким образом, вместо того, чтобы позволять вам вводить информацию, даже если она бесполезна, Microsoft пытается опередить вас, не позволяя вообще вводить ее. Однако есть способ обойти это.

Обратите внимание, что в этом ответе предполагается, что ваш сертификат уже создан, добавлен в хранилище сертификатов и добавлен в IIS. Также предполагается, что вы не хотите никаких других привязок к вашему сайту, кроме SSL.

Во-первых, нам нужно собрать некоторую информацию. Нам нужен хеш, идентификатор приложения и имя хоста.

1. Откройте IIS, выберите свой сервер и дважды щелкните «Сертификаты сервера» в нижней части. Обратите внимание на адрес «Кем выдан». Это наше имя хоста. Сохраните это.
2. Выберите свой сайт
3. Свяжите свой сайт с портом 80, используя протокол http
4. Удалить все остальные привязки
5. Свяжите свой сайт с портом 443 по протоколу https

6. Открыть командную строку

   netsh http show sslcert
   

7. Сохраните хэш сертификата и идентификатор приложения

8. Удалите привязку https на вашем сайте

9. В командной строке:

   netsh http add sslcert ipport=0.0.0.0:443 certstorename=my certhash=<put Certificate Hash here> appid={<put Application ID here>}
   
   appcmd set site /site.name:"<put site name here>" /+bindings.[protocol='https',bindingInformation='*:443:<put host name here>']
   

ПРИМЕЧАНИЕ. Appcmd.exe находится в каталоге c: \ windows \ system32 \ insetsrv. Возможно, вам понадобится находиться в этой папке, чтобы эта команда работала.

10. Удалите http-привязку с вашего сайта

ПРИМЕЧАНИЕ. Вы можете оставить привязку http, если хотите, чтобы ваш сайт автоматически перенаправлялся на https, но это уже другая тема.

Answer 2

Этот пост может помочь вам.Это дало мне возможность определить заголовок узла в IIS и присвоить ему правильный сертификат SSL, и хотя он работал нормально локально, если мы указали 127.0.0.1 на адрес сайта в файле hosts, он просто отключился по временив производстве.Надеемся, что это немного продвинет вас:

http://www.awesomeideas.net/post/How-to-configure-SSL-on-IIS7-under-Windows-2008-Server-Core.aspx

Удалите все ваши привязки, назначьте сертификат SSL с помощью командной строки, затем добавьте привязки SSL с заголовком узла через командулиния.