L'utilisation de SNI sur Windows Server 2012 R2 ne fonctionne pas


10

entrez la description de l'image ici

J'essaie de faire fonctionner mes deux sites avec leurs certificats séparés sur un Windows Server 2012 R2.

Cela ne devrait-il pas être possible?

Sur le dernier site ajouté www.c1get.net, j'obtiens le certificat du premier site et un avertissement par conséquent.

Mettre à jour

SSL Certificate bindings:
-------------------------

    IP:port                      : 0.0.0.0:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : 100.88.158.59:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : owindemo.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : demo009.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.c1get.net:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

De quelle sortie tirez-vous netsh http show sslcert?
Shane Madden

a ajouté la sortie
Poul K. Sørensen

3
Je me demande si la liaison non SNI sur cette IP fait une différence pour une raison quelconque. Un changement si cette liaison est désactivée?
Shane Madden

Comment voyez-vous ce qui n'est pas SNI
Poul K. Sørensen

Vous voulez dire celui-ci: 100.88.158.59:443. En fait, je ne sais pas pourquoi c'est là. Je passe en revue tous les sites dans IIS et il n'y a que des liaisons SNI dans l'interface utilisateur
Poul K. Sørensen

Réponses:


11

Répondre à cela au nom de Shane Madden et s093294

Shane: Je me demande si la liaison non SNI sur cette IP fait une différence pour une raison quelconque. Un changement si cette liaison est désactivée?

s093294: D'accord. C'était ça le problème. Je l'ai retiré avec netsh http delete. Maintenant, je dois juste comprendre pourquoi il était là en premier lieu. C'est une configuration automatisée qui déploie une machine sur des services cloud azur.


A eu le même problème avec le déploiement du service cloud Azure et la configuration SNI. Je sais que c'est une question très ancienne, mais avez-vous de la chance de savoir quelle était la raison des enregistrements par défaut dans netsh http sslcert?
Sergey Litvinov

Permettez-moi d'être plus clair: même problème sur Windows Server 2016 avec IIS10.0. Évidemment, c'est une sorte de BUG, ​​si vous ajoutez une nouvelle liaison SSL avec IP (mais pas de nom d'URL) et une certification, cela apparaîtra: cette certification s'affichera dans une URL différente lorsque vous l'ouvrirez dans le navigateur, peu importe que vous la supprimiez lier le problème existe toujours. Vous devez le vérifier par: netsh http show sslcerten ligne de commande, si vous découvrez qu'il existe une liaison d'adresse IP mais pas dans IIS, c'est tout. Et besoin de supprimer manuellement par la ligne de commande: netsh http delete sslcert ipport=[bind IP address]:[bind port]. fatigué ....
qakmak
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.