Configurer IIS 7.5 avec plusieurs liaisons de sites Web et SSL?

11

Sur IIS 7.5, j'essaie d'y parvenir avec deux sites Web:

Default Web Site is bound to:

(blank host header port 80 - http)
(blank host header port 443 - https)
go.example.com
www71.example.com
the IP address of go.example.com

2nd web site "Beta" is bound to:

beta.example.com
(blank host header port 443 - https)
* using blank only because it doesn't seem to be possible to 
  bind https to a named host header

Et les deux doivent fonctionner avec SSL. Mais j'ai ces problèmes:

  1. Lorsque je tape beta.example.com, je vois le site go.example.com à la place
  2. Je n'arrive pas à ajouter la liaison SSL aux deux sites Web à la fois (j'ai un seul certificat générique * .example.com). Le site bêta ne démarrera même pas si j'y ajoute la liaison https.

Voici comment je l'ai mis en place:

entrez la description de l'image ici

Quelle est la bonne façon de le configurer?

JK01
la source

Réponses:

8

Sans extensions SNI , vous ne pouvez lier qu'un seul certificat SSL par IP: paire de ports. Si vous devez exécuter 2 HTTPS sur la même IP - liez-les à différents ports, puis référez-vous à ce site fournissant le port dans l'URL (par exemple https://beta.example.com:444/). Vous pouvez utiliser le même certificat générique sur différents ports sans aucun problème.

Si vous avez plus d'un site avec un nom d'hôte vide (pour le protocole HTTP), alors celui dont l'ID est le plus bas devrait être un "catch all". Il en va de même pour HTTPS - celui dont l'ID est inférieur doit intercepter toutes les demandes sur ce port.

D'un autre côté, vous avez un certificat générique et j'ai vu un article qui dit que cela peut être fait dans IIS7: http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html . Je l'ai essayé moi-même dans le passé, mais cela n'a pas bien fonctionné pour moi - assez souvent IIS lançait une erreur 5xx lors de l'accès à des fichiers même statiques (ce qui s'est arrêté lorsque nous lions un autre hôte à un port différent). Peut-être que cela a été corrigé depuis.

LazyOne
la source
3

Bien que ce soit une question plus ancienne, j'avais besoin d'accomplir la même chose récemment. Cela peut être fait sous IIS 7.x en utilisant des certificats de nom alternatif de sujet. Ces certificats sont préférables aux caractères génériques car ils se limiteront aux seuls sites spécifiquement répertoriés, atténuant ainsi les attaques basées sur l'usurpation d'un nom de site bidon dans un domaine capturé sous un caractère générique.

Une fois le certificat SAN importé dans IIS, vous pouvez utiliser l'outil appcmd pour spécifier la liaison supplémentaire ou modifier manuellement applicationHost.config dans la section, par exemple

<site name="SomeSite" id=9>
   <bindings>
     <binding protocol="http" bindingInformation="*:80:SomeSite"/>
     <binding protocol="https" bindingInformatoin="*:443:SomeSite" />
   </bindings>
</site>
David W
la source