Назад | Перейти на главную страницу

Несколько сайтов с SSL на IIS6

Это может показаться немного глупым, но я больше занимаюсь разработкой, чем администратором сервера, и я невероятно тупоголовый, когда дело касается IIS. Так что терпите меня здесь.

В настоящее время у меня есть клиент, у которого есть выделенная коробка 2K3 под управлением IIS6. Они размещают в этом ящике один сайт с двумя доменами, соответствующими этому сайту (domain1.com, domain2.com). Сайт хранится в обычной папке C: \ Inetpub \ www. Кроме того, на сайте есть раздел, защищенный SSL. Есть два сертификата SSL, по одному для каждого домена.

Когда пользователь переходит на https: // domain1. ком, все нормально. Однако, когда пользователь переходит на https: // domain2. com, Internet Explorer выдает предупреждение системы безопасности. Очевидно, это не то, что мы хотим. (Мне пришлось поставить пробелы в URL-адресе, потому что ServerFault не позволяет мне размещать более одного URL-адреса за раз, поскольку я здесь новичок).

Вот немного информации о настройке сайта в диспетчере IIS, насколько я могу.

Здесь перечислены два сайта: domain1.com и Administration. Когда я захожу в свойства для domain1.com, IP-адрес имеет значение «(Все неназначенные)».

В разделе Advanced "domain2.com" указан с IP-адресом "Default". Кроме того, в разделе «Несколько удостоверений SSL для этого веб-сайта» есть одна запись с IP-адресом «По умолчанию» и стандартным портом SSL 443.

Я могу просмотреть сертификат для domain1.com в разделе «Безопасность каталога> Просмотреть сертификат». Кажется, там все ок.

Итак, резюмируем: я пытаюсь настроить отдельные сертификаты SSL для отдельных доменов, которые ведут в одно и то же место. Это возможно? Если бы кто-нибудь мог объяснить мне этот процесс (и как можно больше упростить его) или хотя бы указать мне правильное направление, я был бы очень признателен.

Пожалуйста, дайте мне знать, если в этом нет никакого смысла, или если я не предоставил вам достаточно (или правильную) информацию.

Вы не можете использовать виртуальные хосты с SSL, поэтому для размещения двух сайтов, использующих SSL, вам необходимо иметь 2 IP-адреса, каждый с определенным хостом и привязанным к нему сертификатом ssl.

Короче говоря, вам нужно 2 IP-адреса на вашем сервере, один из которых привязан к domain1.com, а другой - к domain2.com, и 2 сайта IIS: один для domain1.com и один для domain2.com. Оба они могут обслуживать один и тот же контент, но должны быть разными сайтами.

Apache поддерживает так называемый SNI (посмотреть здесь), который позволяет вам использовать vhosts с SSL, но в настоящее время это не поддерживается IIS.

Вы можете использовать SSL-сертификат SNI. Это позволяет вам иметь любой веб-сайт с тем же IP-адресом, потому что проверка IP не выполняется, но заголовок Host HTTP / 1.1 будет проверяться для проверки сертификата SSL.

PS: старые браузеры не могут проверять SSL-сертификаты SNI или прозрачные прокси с перехватом.

Лучшее решение - использовать Сертификат унифицированных коммуникаций что позволяет включать несколько доменов в один сертификат. Просто включите оба домена в сертификат, и все готово. Не нужно беспокоиться о дополнительном IP-адресе или других портах и ​​т. Д.

Я не могу комментировать, но IIS, безусловно, поддерживает SNI (только не IIS 6, которому уже более десяти лет). Пожалуйста, прочтите следующий пост для очень информативного обсуждения SNI: Несколько доменов SSL на одном IP-адресе и одном порту? Обратите внимание, что SSL 3.0 теперь считается небезопасным из-за уязвимости Heartbleed, поэтому TLS 1.0 должен быть минимально поддерживаемым шифрованием, что делает единственный недостаток в том, что для него требуется HTTP 1.1, что не является большим требованием.