1. Zuhause
  2. Frage und Antwort
  3. SNI mit Wildcard-Zertifikat auf IIS 8.5

SNI mit Wildcard-Zertifikat auf IIS 8.5

2017-03-08 14 views
0

Ich habe eine Reihe von Websites auf IIS 8.5, die alle eine wilcard cert (*.myhost.com) verwenden, lassen Sie uns sagen:SNI mit Wildcard-Zertifikat auf IIS 8.5

api.myhost.com 
data.myhost.com 
...

Jetzt habe ich einen neuen Namen zu diesen Seiten hinzufügen möchten , so erhalte ich ein neues Zertifikat (*.newhost.com) und habe neue Websites auf IIS:

api.newhost.com 
data.newhost.com 
...

und Require Server Name Indication in IIS für diese neuen Websites aktiviert, aber mein Problem ist, IIS altes Zertifikat für meine neue Standorte zu senden halten, was ich mache ich falsch und warum IIS niemals SNI-Erweiterung in seinem Server Hello sendet Antwort?

Quelle

2017-03-08 BigBoss

+0

SNI funktioniert nur, wenn die Clientseite es in der richtigen Weise anfordert. Ich schlage vor, dass Sie SSL/TLS-Sitzungen mit Wireshark erfassen und die Pakete sorgfältig analysieren, um den Schuldigen ausfindig zu machen. –

Antwort

0

Wahrscheinlich haben die alten Websites/Bindungen SNI nicht aktiviert.

Überprüfen Sie Ihre *.myhost.com Bindungen für jede Site und aktivieren Sie SNI.

Wenn SNI dort deaktiviert ist, wird die IP- und Portnummernkombination von den alten Zertifikaten beansprucht.

Ansonsten weitere Informationen zur Verfügung stellen, indem Sie diesen Befehl ausführen:

netsh http show sslcert

Diese alle Bindungen

einige weitere Hintergrundinformationen auflistet: https://blogs.msdn.microsoft.com/kaushal/2012/09/04/server-name-indication-sni-with-iis-8-windows-server-2012/

UPDATE: Überprüfen Sie die Verbindung, herunterladen OpenSSL und verwenden Sie den OpenSSL-Client, um Debug-Informationen mit einem Befehl wie dem folgenden zu erstellen:

openssl s_client -state -debug -connect www.xyz.com:443

Quelle

2017-03-08 13:12:40

+0

Ich habe mit alten Seiten sowohl im aktivierten als auch im deaktivierten SNI-Modus getestet und bestätigt mit Netsh http show sslcert und powrshell cmd-let Get-WebBinding – BigBoss

+0

versuche mit dem openssl s_client mit aktivierten Debug-Optionen (siehe mein aktualisierter Beitrag) –

+0

Ich habe auch getestet mit 'openssl s_client -connect api.newhost.com:443 -tlsextdebug', Server nie SNI benötigt und Zertifikat für alte Website senden – BigBoss

0

Stellen Sie für die Nicht-SNI-Standorte sicher, dass die Bindungen auf "Alle nicht zugewiesen" und nicht auf eine bestimmte IP-Adresse eingestellt sind (andernfalls werden sie den SNI-Standorten in die Quere kommen).

Quelle

2017-06-10 23:17:34 franzo

Verwandte Themen

 Verwandte Themen