Я хотел бы настроить IIS для прослушивания 127.0.0: 80 и *: 443, поэтому http-соединения разрешены только с локального хоста, в то время как любой из сети должен будет использовать SSL. (Эта часть не проблема). Кроме того, я хочу, чтобы SSL-соединения использовали клиентские сертификаты, но не HTTP-соединения. Это то, что я, кажется, не могу сделать.
IIS - это версия 8.5.9600.16384, работающая на Windows Server 6.2 (2012 R2).
Предыстория, не обязательная для ответа на вопрос
У нас есть сайт, для которого наша ИТ-безопасность требует, чтобы мы использовали сертификаты клиентов смарт-карт. Программное обеспечение имеет собственный интерфейс администратора, который выполняет HTTP / XML / Soap / любые запросы к веб-серверу. Этот собственный пользовательский интерфейс администратора нельзя настроить для использования клиентских сертификатов; Кроме того, даже если бы это было возможно, ИТ-безопасность не позволила бы нам создать «статический» сертификат, для которого не нужны смарт-карта + пин-код. Итак, я хочу, чтобы программное обеспечение администратора использовало http только на 127.0.0.1 - без сертификата - при этом все еще требуя от пользователей использовать https и сертификаты. Возможность запускать программное обеспечение администратора только на веб-сервере не сильно повредит. И да, я знаю, что мне нужно дважды проверить, что на сервере ничего не запущено, что могло бы действовать как прокси, чтобы обмануть проверку «только для локального хоста».
Я попытался настроить второй сайт, как описано в разделе «Дополнительный сайт IIS только для локального хоста» для подвинь это (другое программное обеспечение, но та же проблема), но это полностью сломало мое программное обеспечение. Программа пытается прочитать конфигурацию IIS, чтобы настроить себя, и ужасно сбивается с толку, если она работает на двух веб-сайтах. Итак, я застрял с «одним веб-сайтом, двумя привязками», но с этим IIS не позволяет мне «требовать сертификаты клиента, но только через порт SSL».