IIS 7.5 mit mehreren Website-Bindungen und SSL einrichten?

11

Unter IIS 7.5 versuche ich dies mit zwei Websites zu erreichen:

Default Web Site is bound to:

(blank host header port 80 - http)
(blank host header port 443 - https)
go.example.com
www71.example.com
the IP address of go.example.com

2nd web site "Beta" is bound to:

beta.example.com
(blank host header port 443 - https)
* using blank only because it doesn't seem to be possible to 
  bind https to a named host header

Und beide müssen mit SSL arbeiten. Aber ich habe diese Probleme:

  1. Wenn ich beta.example.com eingebe, wird stattdessen die Website go.example.com angezeigt
  2. Ich kann nicht scheinen, die SSL-Bindung auf beiden Websites gleichzeitig hinzuzufügen (ich habe ein einzelnes * .example.com-Platzhalterzertifikat). Die Beta-Site wird nicht einmal gestartet, wenn ich die https-Bindung dazu hinzufüge.

So habe ich es eingerichtet:

Geben Sie hier die Bildbeschreibung ein

Was ist der richtige Weg, um es einzurichten?

JK01
quelle

Antworten:

8

Ohne SNI-Erweiterungen können Sie nur ein SSL-Zertifikat pro IP: Port-Paar binden. Wenn Sie 2 HTTPS auf derselben IP ausführen müssen, binden Sie sie an verschiedene Ports und verweisen Sie dann auf eine solche Site, die einen Port in der URL bereitstellt (z https://beta.example.com:444/. B. ). Sie können dasselbe Platzhalterzertifikat problemlos an verschiedenen Ports verwenden.

Wenn Sie mehr als eine Site mit einem leeren Hostnamen (für das HTTP-Protokoll) haben, sollte die Site mit der niedrigeren ID ein "catch all" sein. Gleiches gilt für HTTPS - derjenige mit der niedrigeren ID sollte alle Anforderungen an diesem Port abfangen.

Auf der anderen Seite haben Sie ein Platzhalterzertifikat und ich habe einen Artikel gesehen, der besagt, dass dies in IIS7 möglich ist: http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html . Ich habe es in der Vergangenheit selbst versucht, aber es hat bei mir nicht gut funktioniert - ziemlich oft hat IIS beim Zugriff auf statische Dateien einen 5xx-Fehler ausgegeben (was aufhörte, als wir einen anderen Host an einen anderen Port banden). Vielleicht wurde es seitdem behoben.

LazyOne
quelle
3

Obwohl dies eine ältere Frage ist, musste ich erst kürzlich dasselbe erreichen. Dies kann unter IIS 7.x mithilfe von Subject Alternate Name-Zertifikaten erfolgen. Diese Zertifikate sind Platzhaltern vorzuziehen, da sie sich nur auf die speziell aufgelisteten Websites beschränken und so Angriffe abschwächen, die auf dem Spoofing eines falschen Site-Namens innerhalb einer unter einem Platzhalter erfassten Domäne beruhen.

Sobald das SAN-Zertifikat in IIS importiert wurde, können Sie mit dem Tool appcmd die zusätzliche Bindung angeben oder die Datei applicationHost.config innerhalb des Abschnitts manuell bearbeiten, z

<site name="SomeSite" id=9>
   <bindings>
     <binding protocol="http" bindingInformation="*:80:SomeSite"/>
     <binding protocol="https" bindingInformatoin="*:443:SomeSite" />
   </bindings>
</site>
David W.
quelle