Назад | Перейти на главную страницу

Добавление нескольких веб-сайтов с разными сертификатами SSL в IIS 7

У меня проблемы с использованием SSL для двух разных веб-сайтов на моем сервере IIS 7. Пожалуйста, посмотрите мою настройку ниже:

website1: my.corporate.portal.com

SSL-сертификат для сайта1: * .corporate.portal.com

https / 443 привязан к my.corporate.portal.com

website2: client.portal.com Сертификат SSL, выданный для: client.portal.com Когда я пытаюсь связать https в IIS7 с сертификатом клиента, у меня нет возможности указать имя хоста (выделено серым цветом), и как только я выберите сертификат client.portal.com, я получаю следующую ошибку в IIS:

At least one other site is using the same HTTPS binding
and the binding is configured with a different certificate.
Are you sure that you want to reuse this HTTPS binding 
and reassign the other site or sites to use the new certificate?

Если я нажму «да», сайт my.corporate.portal.com перестанет использовать соответствующий сертификат SSL.

Не могли бы вы что-нибудь предложить?

Как правило, для каждого SSL-сайта требуется отдельный IP-адрес, поэтому, если вы попытаетесь привязаться к одному и тому же IP-адресу, вы увидите указанную выше ошибку.

Это связано с тем, как работает SSL. Сервер не может прочитать заголовок узла HTTP во время процесса установления связи, поэтому он не может использовать эту информацию заголовка, чтобы выбрать, какой сайт (и сертификат) использовать. Таким образом, сертификаты в IIS в основном привязаны к IP-адресу, а не к сайту.

Если у вас есть групповой сертификат или сертификат ASN, который применяется к нескольким сайтам, вы можете настроить его следующим образом:

  1. Привязать сертификат к первому сайту на IP
  2. Для сайтов с заголовками хоста выполните следующую команду в папке inetsrv: appcmd set site /site.name:"<IISSiteName>" /+bindings.[protocol='https',bindingInformation='*:443:<hostHeaderValue>']

Замените и соответствующими значениями (например, Website1 и www.example.com).

SNI поддерживается в IIS8, чтобы разрешить несколько несвязанных сайтов SSL на одном IP. Обратите внимание, что SNI поддерживается только в современных браузерах, поэтому это может вызвать у вас проблемы, если у вас есть коммерческий сайт с широкой аудиторией, например пользователи Windows XP, использующие более старые версии Internet Explorer.

Внедрение эластичной балансировки нагрузки для инстанса Amazon решает проблему (http://aws.amazon.com/elasticloadbalancing/)