SSL-Servername stimmt nicht überein, wie ie11 umgangen wird

12

Wir haben eine App und die wirklich lange Geschichte ist, dass die Dinge auf diese Weise eingerichtet werden müssen, damit der Rest der App nicht versagt.

Wir haben eine Domain

https: // server01 / AppNet

In IIS ist die 443-Bindung so eingerichtet, dass ein Zertifikat verwendet wird mit:

CN = server02

Als ich die Seite für traf

https: // server01 / AppNet

Ich erhalte eine SSL-Warnung

Bildbeschreibung hier eingeben

Ich habe diesen Artikel gefunden

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Möchte aber den Teil vermeiden über:

"Leider hindert es den Browser auch daran, sich über Adressenkonflikte auf jeder anderen Website zu beschweren, die Sie besuchen. Das ist nicht ideal, aber es ist die Art von Kompromiss, die Sie eingehen müssen, wenn Sie den IE verwenden."

Ich habe auch die unten beschriebenen Schritte befolgt, aber immer noch Fehler geben

Fix 1 - Installieren Sie das Zertifikat

Klicken Sie mit der rechten Maustaste auf das Symbol „Internet Explorer“ und wählen Sie „Als Administrator ausführen“.

Besuchen Sie die Website und wählen Sie die Option "Weiter zu dieser Website (nicht empfohlen)".

Klicken Sie in der Adressleiste auf "Zertifikatfehler" und wählen Sie "Zertifikate anzeigen".

Wählen Sie „Install Certificate…“.

Wählen Sie „Weiter“.

Wählen Sie die Option "Alle Zertifikate in folgendem Speicher ablegen".

Wählen Sie „Durchsuchen…“.

Wählen Sie „Vertrauenswürdige Stammzertifizierungsstellen“ und dann „OK“.

Wählen Sie "Ja", wenn Sie mit der Sicherheitswarnung dazu aufgefordert werden.

Wählen Sie in der Meldung "Der Import war erfolgreich" die Option "OK"

Wählen Sie im Feld "Zertifikat" die Option "OK".

Dies ist nur für das interne Netzwerk

Gibt es etwas, das ich zu IIS hinzufügen kann?

Kann ich dem DNS etwas hinzufügen?

Irgendwelche anderen Workarounds?

Anthony Fornito
quelle
Können Sie dem Benutzer mitteilen, dass er auf den Server2-URI zugreifen soll? Auf diese Weise können Sie einfach den DNS-Eintrag von Server2 hinzufügen, der auf Server1 zeigt
yagmoth555
Ich bin mir nicht sicher was du meinst? Server2 URI?
Anthony Fornito
2
Können Sie erläutern, warum es auf diese offensichtlich fehlerhafte Weise eingerichtet werden muss, mit einem Zertifikat, das nicht übereinstimmt? Es klingt nicht nach einem vernünftigen Ausgangspunkt.
Håkan Lindqvist
Ich weiß, Server01 hostet ein Array von Legacy-Anwendungen, die mit externen Ressourcen kommunizieren müssen. Diese Ressourcen müssen den Benutzer Server01 für ihre SSL verwenden. Die Anwendung wird auf Server01 gehostet, der Domänenname wird jedoch auf Server02 umgeleitet, der auf derselben Box gehostet wird bekomme keine ssl-Warnung, wenn du zu server02 / AppNet gehst, weil der CN übereinstimmt, aber wenn du Server01 / AppNet triffst, bekomme ich den Fehler, weil der CN nicht übereinstimmt. Kurz gesagt, ich möchte den Fehler dafür ignorieren können name / ssl,
Anthony Fornito
1
Die in der Frage enthaltene Problemumgehung ist eine Problemumgehung für eine Warnung zu einem nicht vertrauenswürdigen Zertifikat. Nicht relevant für das unterschiedliche Szenario eines Zertifikats mit dem falschen Antragstellernamen.
Håkan Lindqvist

Antworten:

14

Wenn Sie zum Erstellen Ihrer Zertifikate für diesen Server berechtigt sind, sollten Sie ein Zertifikat erstellen, das alternative Namen enthält, unter denen der Server möglicherweise bekannt ist. Auf diese Weise löst der Browser den korrekten Namen automatisch auf.

Von https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

SAN-Zertifikat (Subject Alternative Name Certificate)

Sie können das Platzhalterzertifikat einrichten, wenn der Domänenname für alle Sites identisch ist und sich die Subdomäne der ersten Ebene ändert. Was ist, wenn Sie Sites einrichten möchten, die mit zwei verschiedenen Domain-Namen funktionieren sollen, z. B. eine Site mit Host-Header als www.testserver1.com und eine andere Site mit hostheader als www.testserver2.com. In diesem Fall hilft Ihnen das Wildcard-Zertifikat nicht weiter. Um dieses Problem zu beheben, verfügen wir über ein SAN-Zertifikat.

Mit einem SAN-Zertifikat können mehrere Domänennamen mit einem einzigen Zertifikat geschützt werden. Beispielsweise könnten Sie ein Zertifikat für myserver.com abrufen und dann weitere SAN-Werte hinzufügen, damit dasselbe Zertifikat myserver.org, myserver.net und sogar myserver2.com oder www.example.com schützt.

Sie können die Domänennamen unter der Option Alternativer Antragstellername im Zertifikat anzeigen

sweetfa
quelle
Ja, dies war mein erster Gedanke und vielleicht meine einzige Alternative. Ich hatte gehofft, einen Workaround finden zu können, da der Serverbesitzer nicht anwesend ist. Wenn ich heute nichts herausfinde, werde ich dies morgen tun und prüfen, ob es funktioniert.
Anthony Fornito
Es gibt nichts, was Sie an Ihrem Ende tun können, außer die Überprüfung aller Hostnamen zu deaktivieren, was, wie Sie angegeben haben, nicht die beste Vorgehensweise ist. In einigen Browsern können Sie diese Sicherheitsüberprüfung dauerhaft ignorieren, aber aus dem Speicher bietet der IE diese Option nicht an
sweetfa