Мы настраиваем HTTPS для всех наших сайтов. К сожалению, я не очень разбираюсь в IIS.
У меня есть два сертификата, один - EV-UCC-Certificate с 10 поддоменами. субдомены из двух разных доменов, например:
shop.abcdomain.com
www.xzydomain.com
У меня также есть подстановочный сертификат для одного из этих доменов *.abcdomain.com
оба домена работают на одном сервере IIS с одним и тем же IP-адресом.
Когда я назначаю подстановочный сертификат некоторым своим сайтам, все работает нормально, но когда я затем хочу назначить сертификат EV-UCC другому сайту, который находится в той же коллекции «сайтов» в IIS, я получаю следующую ошибку
По крайней мере, еще один сайт использует ту же привязку HTTPS, и привязка настроена с другим сертификатом.
Меня это немного смущает. Почему я не могу назначить два разных сертификата одному и тому же IIS? Может быть только один SSL-сертификат на IIS? Если да, есть ли обходной путь, чтобы заставить IIS думать, что он может иметь два сертификата SSL?
Я использую IIS 7.5 на Windows Server 2008 R2
Обычно только один сертификат SSL может быть назначен одной и той же комбинации IP / Port. Это связано с тем, что заголовок хоста зашифрован, и уровень HTTP не может угадать, какой хост запрошен и какой сертификат должен быть представлен клиенту.
Если да, есть ли способ заставить IIS думать, что он может иметь два сертификата SSL?
Нет, в Windows Server 2008 R2 нет обходных путей. Однако, начиная с Windows Server 2012 (IIS8), есть способ привязать несколько сертификатов к одной и той же комбинации IP / Port с помощью Индикация имени сервера (SNI) Расширение TLS. В отличие от оригинального SSL / TLS, SNI использует незашифрованный заголовок хоста. Версии IIS до IIS8 не поддерживают незашифрованные заголовки. больше чтения: http://blogs.msdn.com/b/kaushal/archive/2012/09/04/server-name-indication-sni-in-iis-8-windows-server-2012.aspx
Кроме того, вы можете привязать свои службы к разным TCP-портам и назначить сертификаты каждому порту.