IIS 7.5 - 可以在具有不同FQDN证书的同一端口上运行2个站点

时间:2014-11-20 17:50:21

标签: iis binding iis-7.5 ssl-certificate

我们曾经在IIS 7.5上进行过设置。 - 1 IIS有2个网站都在443上运行。 - 它在绑定中有不同的主机名 - site1.domainname.com,site2.domainname.com - 两个站点都绑定了通配符SSL证书 - * .domainname.com, 这种方法运作良好多年。

由于审核,我们不得不转向FQDN证书。

现在,当我在网站上绑定FQDN证书时,它不允许我添加主机名。

http://screencast.com/t/sowdaziJV

它表示你无法启动第二个站点,因为另一个站点已经在同一个端口上运行。

这是有道理的,直到另一个内部团队开始工作。我的猜测是他们使用脚本在IIS而不是IIS GUI上允许这样做。

他们有2个网站在同一个端口上运行,其中包含不同的SSL证书,没有主机名。

我发现他们的设置很奇怪,我也可以这样设置它。

  • 拥有通配符证书和主机名的网站。
  • 使用FQDN证书更改站点一。
  • 请勿使用FQDN证书更改站点2。 它会自动获取新证书并保留主机名
  • 他们都熬夜了。如果你看一下站点2,它看起来好像有一个主机名绑定。但是如果你编辑那个主机名就不见了。看到这个图。

http://screencast.com/t/z5y4n7KhGNE

问题:

IIS是否在具有不同FQDN证书的同一端口上运行2个网站? 我担心他们是否利用了一个bug。我希望在生产之前确定是否允许这样做。

1 个答案:

答案 0 :(得分:1)

他们可能打开了SNI。 SNI允许服务器识别主机名并将其路由到正确的站点,然后发回与站点关联的SSL证书。问题是,并非所有浏览器都支持SNI握手。 SNI仅从服务器2012开始,因此其他团队可能正在运行它。以前,IIS无法执行此操作,因此每个站点都必须拥有自己的IP / SSL证书。现在,您可以在443上为一个站点运行全部,并且IIS可以通过查看请求来确定要响应的站点。