IIS 8.5,中央证书存储区,通配符SSL和没有主机名
我在使用带有通配符证书的IIS8中央证书存储区时遇到问题。我有一个配置为使用CCS的Web服务器场。我有一张外卡证书" * .delaneywilson.com"。我为通配符证书创建了一个pfx文件,命名为" _。delaneywilson.com" (按照Microsoft和网络上的其他文章的指示),然后将其放入我的共享SSL目录中。证书显示在IIS中没有问题。
我为www.delaneywilson.com和delaneywilson.com创建了绑定,两者都使用端口443,设置为"所有未分配","需要服务器名称识别"和"使用集中证书存储"。与www的绑定工作正常,但没有主机名的绑定不起作用。
事实上,只要有主机名,我申请的任何绑定都会起作用:
https://www.delaneywilson.com -> Works
https://anything.delaneywilson.com -> Works
https://something.delaneywilson.com -> Works
https://delaneywilson.com -> Does not work
我读过的所有内容都让我相信IIS8.x使用CCS支持通配符证书,但是我不能让#34;只是"域名工作。
它表示对于UCC证书,您实际上必须复制证书并将其放在共享目录中,以便为UCC证书支持的每个域删除它。我尝试了类似于通配符证书的东西,但它没有用。事实上,证书在CCS列表中根本没有出现。 (这是预期的,因为证书是* .dealneywilson.com而不是delaneywilson.com)。我可以通过强制从delaneywilson.com到www.delaneywilson.com的负载平衡重定向来解决这个问题,但我认为如果它只是起作用会更好。
现在我刚回去在每台服务器上安装证书,然后配置我的绑定以使用SNI和我的本地证书存储。这似乎没有任何问题。对于一个拥有5台服务器和几个网站的小型农场来说,这不是什么大不了的事,但我需要将CCS用于托管6500个域的24个服务器Web场及其配置太多。
任何人都可以确认这是IIS 8.5 CCS中的错误吗?
4 个答案:
答案 0 :(得分:0)
[选项一]
仅为" delaneywilson.com"
购买另一张SSL证书[选项二]
添加DNS名称" delaneywilson.com"在" * .delaneywilson.com"的SAN领域。证书
答案 1 :(得分:0)
默认情况下,通配符证书保护域并将其作为SAN添加到证书中。因此,如果您使用* .abc.com,abc.com会自动添加为证书中的SAN。如果未添加,则可以联系您的CA并要求他们重新颁发证书,并将域添加为SAN。
是的,必须再次生成CSR才能重新发行。
答案 2 :(得分:0)
当您购买通配符证书时,某些CA包含主题备用名称(SAN)下的主域(没有www)
只需按照以下步骤检查delaneywilson.com是否已添加为SAN
转到IIS并双击delaneywilson.com证书>>点击详情选项卡>>向下滚动一下,然后单击主题备用名称
我发布的图片供您参考
答案 3 :(得分:0)
我遇到了完全相同的问题,这个话题让我开始思考。答案在于CCS如何选择证书文件:
anything.delaneywilson.com >> CCS寻找_.delaneywilson.com.pfx >>找到。 delaneywilson.com >> CCS正在寻找delaneywilson.com.pfx >>未找到。
大多数通配符证书还包含用于基本域名的SAN。要通过CCS使用SAN,只需复制pfx文件,然后从两个文件名之一中删除开头的下划线+点。
使用本地证书(不是CCS)时,绑定中已指定要使用的证书,因此不会造成混淆。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?