Назад | Перейти на главную страницу

Настройте IIS7.5 на прием SSL-запросов только к определенным именам хостов

Я знаю, что с http-сайтами я могу настроить его для прослушивания определенных имен хостов, и вы можете добавить несколько привязок, он игнорирует все остальное, что отлично. Я также знаю, что могу переименовать свое понятное имя ssl-сертификата, чтобы сделать это поле доступным для привязки ssl. Проблема в том, что мне нужно принять ssl для www.site.com и site.com, но я получаю только одну привязку с сертификатом ssl. То, что я не связываю, не будет обслужено.

Как я могу настроить свой сайт так, чтобы он отвечал только на ssl-запросы для site.com и www.site.com, но игнорировал все остальное? У меня есть отдельный http-сайт, который мы назовем badsite.com, который перейдет на него, если пользователь введет https, потому что этот сайт прослушивает все https.

Я не могу выбирать между ssl на www.site.com и site.com, так как мне нужно принять оба, но я хочу отбросить, переписать, ошибку или иным образом не разрешить что-либо еще в запросах порта 443.

Я просмотрел все функции, которые смог найти задокументированными, и считаю, что лучшим решением будет блокировка запросов при перезаписи URL. Проверка HTTP_HOST и указание ему игнорировать все, кроме www.site.com и site.com с регулярным выражением, похоже, очень близко к тому, что я хочу. Они по-прежнему сталкиваются с ошибкой сертификата SSL, потому что я не могу отбросить запрос до того, как IIS представит сертификат, но как только это произойдет, это правило отбрасывает запрос.

            <rule name="RequestBlockingRule" stopProcessing="true">
                <match url=".*" />
                <conditions logicalGrouping="MatchAll" trackAllCaptures="false">
                    <add input="{HTTP_HOST}" pattern="^(www.)?site.com$" negate="true" />
                </conditions>
                <action type="AbortRequest" />
            </rule>

Я оставлю это открытым на некоторое время, чтобы посмотреть, не появится ли лучшее предложение. Я думаю, что это может быть лучшее, что IIS 7.5 может предложить, за исключением подходящего решения.

Вы хотите посмотреть, как настроить альтернативное имя субъекта в своем сертификате. Если вы решите использовать сертификат SAN, у вас должна быть возможность войти в SAN при отправке CSR. Если вы это сделаете, вы сможете сделать сертификат действительным для www.site.com и site.com.

больше информации о SAN https://www.digicert.com/subject-alternative-name.htm