Setup IIS 7.5 dengan beberapa ikatan situs web dan SSL?

11

Pada IIS 7.5 saya mencoba mencapai ini dengan dua situs web:

Default Web Site is bound to:

(blank host header port 80 - http)
(blank host header port 443 - https)
go.example.com
www71.example.com
the IP address of go.example.com

2nd web site "Beta" is bound to:

beta.example.com
(blank host header port 443 - https)
* using blank only because it doesn't seem to be possible to 
  bind https to a named host header

Dan keduanya harus bekerja dengan SSL. Tapi saya punya masalah ini:

  1. Saat saya mengetik beta.example.com, saya melihat situs go.example.com
  2. Saya tidak bisa menambahkan ikatan SSL ke kedua situs web sekaligus (Saya memiliki sertifikat wildcard * .example.com tunggal). Situs beta bahkan tidak akan memulai jika saya menambahkan https yang mengikatnya.

Beginilah cara saya mengaturnya:

masukkan deskripsi gambar di sini

Apa cara yang benar untuk mengaturnya?

JK01
sumber

Jawaban:

8

Tanpa ekstensi SNI , Anda hanya dapat mengikat satu sertifikat SSL per IP: port pair. Jika Anda perlu menjalankan 2 HTTPS pada IP yang sama - ikat mereka ke port yang berbeda dan kemudian rujuk ke situs yang menyediakan port tersebut di URL (mis https://beta.example.com:444/.). Anda dapat menggunakan sertifikat wildcard yang sama pada port yang berbeda tanpa masalah.

Jika Anda memiliki lebih dari satu situs dengan nama host kosong (untuk protokol HTTP), maka yang memiliki ID lebih rendah harus menjadi "tangkap semua". Hal yang sama berlaku untuk HTTPS - yang dengan ID lebih rendah harus mencegat semua permintaan pada port itu.

Di sisi lain, Anda memiliki sertifikat wildcard dan saya telah melihat satu artikel yang mengatakan bahwa ini dapat dilakukan di IIS7: http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html . Saya mencobanya sendiri di masa lalu, tetapi tidak berhasil dengan baik - cukup sering IIS melempar kesalahan 5xx ketika mengakses bahkan file statis (yang berhenti terjadi ketika kita mengikat host lain ke port yang berbeda). Mungkin sudah diperbaiki sejak saat itu.

LazyOne
sumber
3

Meskipun ini adalah pertanyaan yang lebih tua, saya harus menyelesaikan hal yang sama baru-baru ini. Ini dapat dilakukan di bawah IIS 7.x dengan menggunakan sertifikat Nama Alternatif Subjek. Sertifikat ini lebih disukai daripada wildcard karena akan membatasi dirinya hanya pada situs yang terdaftar secara spesifik, sehingga mengurangi serangan berdasarkan spoofing nama situs palsu dalam domain yang diambil di bawah wildcard.

Setelah sertifikat SAN diimpor ke IIS, Anda dapat menggunakan alat appcmd untuk menentukan pengikatan tambahan atau mengedit secara manual applicationHost.config di dalam bagian, misalnya

<site name="SomeSite" id=9>
   <bindings>
     <binding protocol="http" bindingInformation="*:80:SomeSite"/>
     <binding protocol="https" bindingInformatoin="*:443:SomeSite" />
   </bindings>
</site>
David W
sumber