IIS 8.5、中央证书存储、通配符 SSL 和没有主机名的网站
IIS 8.5, Central Certificate Store, Wildcard SSL and website with no host name
我在使用带有通配符证书的 IIS8 中央证书存储时遇到问题。我有一个配置为使用 CCS 的 Web 服务器场。我有一个通配符证书“*.delaneywilson.com”。我为通配符证书创建了一个 pfx 文件,将其命名为“_.delaneywilson.com”(按照 Microsoft 和网络上其他文章的说明),然后将其放入我的共享 SSL 目录中。证书毫无问题地显示在 IIS 中。
我为 www.delaneywilson.com 和 delaneywilson.com 创建了绑定,它们都使用端口 443,设置为 "All Unassigned"、"Require Server Name Identification" 和 "Use Centralized Certificate Store"。与 www 的绑定工作正常,但没有主机名的绑定不起作用。
事实上,只要有主机名,我应用的任何绑定都有效:
https://www.delaneywilson.com -> Works
https://anything.delaneywilson.com -> Works
https://something.delaneywilson.com -> Works
https://delaneywilson.com -> Does not work
我读过的所有内容都让我相信 IIS8.x 使用 CCS 支持通配符证书,但我无法使 "just" 域名正常工作。
它说对于 UCC 证书,您实际上必须为 UCC 证书支持的每个域复制证书并将其放入共享目录一次。我尝试了与通配符证书类似的方法,但没有用。事实上,该证书根本没有出现在 CCS 列表中。 (这是预期的,因为证书是 *.dealneywilson.com 而不是 delaneywilson.com)。我可以通过强制从我的负载平衡重定向从 delaneywilson.com 到 www.delaneywilson.com 来解决这个问题,但我认为如果它能正常工作会更好。
现在我只是回去在每台服务器上安装证书,然后配置我的绑定以使用 SNI 和我的本地证书存储。这似乎没有任何问题。对于一个只有 5 台服务器和几个网站的小型服务器场来说,这没什么大不了的,但我需要将 CCS 用于托管 6500 个域的 24 台服务器网络场及其过多的配置。
谁能确认这是 IIS 8.5 CCS 中的错误?
[选项一]
为 "delaneywilson.com"
购买另一个 SSL 证书
[选项二]
在“*.delaneywilson.com”证书的 SAN 字段中添加 DNS 名称 "delaneywilson.com"
通配符证书保护域并默认将其作为 SAN 添加到证书中。因此,如果您采用 *.abc.com abc.com ,则会自动将其添加为证书中的 SAN。如果未添加,您可以联系您的 CA 并要求他们重新颁发证书,并将域添加为 SAN。
是的,必须重新生成 CSR 才能重新发布。
当您获取通配符证书时,某些 CA 在主题备用名称 (SAN) 下包含主域(不带 www)
只需按照以下步骤检查delaneywilson.com是否添加为SAN
转到 IIS 并双击 delaneywilson.com 的证书 >> 单击详细信息选项卡 >> 向下滚动一点并单击主题备用名称
我正在张贴图片供您参考
我遇到了完全相同的问题,这个帖子让我开始思考。答案在于 CCS 如何选择证书文件:
anything.delaneywilson.com >> CCS 查找 _.delaneywilson.com.pfx >> 已找到。
delaneywilson.com >> CCS 查找 delaneywilson.com.pfx >> 未找到。
大多数通配符证书还包含用于基本域名的 SAN。要通过 CCS 使用 SAN,只需复制 pfx 文件并从两个文件名之一中删除前导下划线+点。
当使用本地证书(不是 CCS)时,绑定中已经指定了要使用的证书,所以不会混淆。
我在使用带有通配符证书的 IIS8 中央证书存储时遇到问题。我有一个配置为使用 CCS 的 Web 服务器场。我有一个通配符证书“*.delaneywilson.com”。我为通配符证书创建了一个 pfx 文件,将其命名为“_.delaneywilson.com”(按照 Microsoft 和网络上其他文章的说明),然后将其放入我的共享 SSL 目录中。证书毫无问题地显示在 IIS 中。
我为 www.delaneywilson.com 和 delaneywilson.com 创建了绑定,它们都使用端口 443,设置为 "All Unassigned"、"Require Server Name Identification" 和 "Use Centralized Certificate Store"。与 www 的绑定工作正常,但没有主机名的绑定不起作用。
事实上,只要有主机名,我应用的任何绑定都有效:
https://www.delaneywilson.com -> Works
https://anything.delaneywilson.com -> Works
https://something.delaneywilson.com -> Works
https://delaneywilson.com -> Does not work
我读过的所有内容都让我相信 IIS8.x 使用 CCS 支持通配符证书,但我无法使 "just" 域名正常工作。
它说对于 UCC 证书,您实际上必须为 UCC 证书支持的每个域复制证书并将其放入共享目录一次。我尝试了与通配符证书类似的方法,但没有用。事实上,该证书根本没有出现在 CCS 列表中。 (这是预期的,因为证书是 *.dealneywilson.com 而不是 delaneywilson.com)。我可以通过强制从我的负载平衡重定向从 delaneywilson.com 到 www.delaneywilson.com 来解决这个问题,但我认为如果它能正常工作会更好。
现在我只是回去在每台服务器上安装证书,然后配置我的绑定以使用 SNI 和我的本地证书存储。这似乎没有任何问题。对于一个只有 5 台服务器和几个网站的小型服务器场来说,这没什么大不了的,但我需要将 CCS 用于托管 6500 个域的 24 台服务器网络场及其过多的配置。
谁能确认这是 IIS 8.5 CCS 中的错误?
[选项一]
为 "delaneywilson.com"
购买另一个 SSL 证书[选项二]
在“*.delaneywilson.com”证书的 SAN 字段中添加 DNS 名称 "delaneywilson.com"
通配符证书保护域并默认将其作为 SAN 添加到证书中。因此,如果您采用 *.abc.com abc.com ,则会自动将其添加为证书中的 SAN。如果未添加,您可以联系您的 CA 并要求他们重新颁发证书,并将域添加为 SAN。
是的,必须重新生成 CSR 才能重新发布。
当您获取通配符证书时,某些 CA 在主题备用名称 (SAN) 下包含主域(不带 www)
只需按照以下步骤检查delaneywilson.com是否添加为SAN
转到 IIS 并双击 delaneywilson.com 的证书 >> 单击详细信息选项卡 >> 向下滚动一点并单击主题备用名称
我正在张贴图片供您参考
我遇到了完全相同的问题,这个帖子让我开始思考。答案在于 CCS 如何选择证书文件:
anything.delaneywilson.com >> CCS 查找 _.delaneywilson.com.pfx >> 已找到。 delaneywilson.com >> CCS 查找 delaneywilson.com.pfx >> 未找到。
大多数通配符证书还包含用于基本域名的 SAN。要通过 CCS 使用 SAN,只需复制 pfx 文件并从两个文件名之一中删除前导下划线+点。
当使用本地证书(不是 CCS)时,绑定中已经指定了要使用的证书,所以不会混淆。