IIS 7.5 - 可以使用不同的FQDN证书在同一端口上运行2个站点
问题描述:
我们曾经在IIS 7.5上安装过一个安装程序。 - 1 IIS有两个网站都运行在443. - 它在绑定中有不同的主机名 - site1.domainname.com,site2.domainname.com - 两个站点都绑定到通配符SSL cert - * .domainname .com, ,这工作很好多年。IIS 7.5 - 可以使用不同的FQDN证书在同一端口上运行2个站点
由于审计,我们必须转移到FQDN证书。
现在,当我绑定站点上的FQDN证书时,它不允许我添加主机名。
http://screencast.com/t/sowdaziJV
它说的其他网站已经在同一端口上运行您不能启动第二个站点。
这是有道理的,直到另一个内部团队得到它的工作。我的猜测是他们使用脚本来允许这在IIS上而不是IIS GUI。
他们有两个网站在同一个端口上运行不同的SSL证书,没有主机名。
我发现了一个关于他们的设置的奇怪的事情,我也能够像这样设置它。
- 使网站具有通配符证书和主机名。
- 更改带有FQDN证书的网站。
- 请勿使用FQDN证书更改站点2。 它会自动获取新证书并保留主机名
- 它们都保持不变。如果你看看站点2,看起来它有一个主机名绑定。但如果你编辑该主机名已不存在。看到这个图。
http://screencast.com/t/z5y4n7KhGNE
问题:
是IIS与不同的FQDN证书预期的行为在同一端口上运行2个网站? 如果他们利用了一个bug,我很担心。我想确定在生产之前是否允许这样做。
答
他们可能打开了SNI。 SNI允许服务器辨别主机名并将其路由到正确的站点,然后发回与该站点相关的SSL证书。问题是,并非所有的浏览器都支持SNI握手。 SNI只从服务器2012开始,所以其他团队可能正在运行它。以前,IIS无法做到这一点,因此每个站点都必须拥有自己的IP/SSL证书。现在,您可以在443上为一个站点运行全部,IIS可以通过查看请求来确定要响应哪个站点。