Назад | Перейти на главную страницу

Централизованные сертификаты IIS8.5: использование более конкретных подстановочных знаков?

Я установил централизованные сертификаты на свой IIS 8.5 (Windows 2012 Standard). У меня есть, среди прочего, следующие сертификаты:

CN=*.dev2.pressero.com, OU=Domain Control Validated
CN=*.pressero.com, OU=Domain Control Validated

Я создал сайт с https-привязкой platform.dev2.pressero.com (порт 443). Я ожидал, что он будет использовать первый сертификат, указанный выше, но он использует второй (и, следовательно, не подключается из-за несоответствия имени).

Есть ли у меня какие-либо альтернативы, кроме удаления второго сертификата из централизованного хранилища?

[РЕДАКТИРОВАТЬ 1] Вот файлы в моем общем хранилище SSL. Как видите, все они соответствуют спецификации, указанной по ссылке в комментарии. [РЕДАКТИРОВАТЬ2: Нет, они не. Пытаюсь переименовать.]

[EDIT3]: после переименования та же проблема. Я даже попытался добавить копию _dev2.pressero.com.pfx, названную в точности по имени сайта. Это по-прежнему хочет использовать сертификат * .pressero.com. IIS перезапускался несколько раз.

myrapidcolor.com.pfx
owlstamp.com.pfx
platform.dev2.pressero.com.pfx
store.factorymart.com.pfx
sydneytradeprint.com.au.pfx
WMsvc-DEVPRESSERO-export.pfx
www.justwinelabels.com.pfx
www.realtimelabeldesign.com.pfx
_.dev.pressero.com.pfx
_.dev2.pressero.com.pfx
_.edocbuilder,com.pfx
_.orderingplatform.com.pfx
_.pressero.com.pfx
_.printingstorefrontsolutions.com.pfx
_.staging.pressero.com.pfx

Когда вы экспортируете свои сертификаты SSL в файл pfx, присвойте сертификату то же имя, которое будет использоваться в качестве значения заголовка хоста для вашей привязки SSL. Это обозначение указывает на то, как правильный сертификат размещается и загружается для сайта, поскольку вы больше не привязываете определенный сертификат SSL к сайту при использовании этой конфигурации.

Отсюда: http://www.orcsweb.com/blog/terri/making-ssl-administration-easy-iis8-centralized-certificates-store/

Но подождите, это еще не все!

Подстановочный сертификат

Поставщик IIS использует символ подчеркивания в качестве специального символа, чтобы указать, что это подстановочный сертификат. Если имя субъекта в сертификате SSL - * .contoso.com, тогда имя файла должно быть «_.contoso.com.pfx». ПРИМЕЧАНИЕ. Провайдер IIS сначала попытается найти сертификат SSL с именем файла, которое точно соответствует имени домена целевого сайта. Например, если конечный сайт - www.contoso.com, поставщик IIS сначала пытается найти www.consoto.com.pfx. Если это не удается, он пытается найти _.contoso.com.

Отсюда: http://blogs.msdn.com/b/kaushal/archive/2012/10/11/central-certificate-store-ccs-with-iis-8-windows-server-2012.aspx

Итак, мораль этой истории такова: подчеркивание.