Le nom du serveur SSL ne correspond pas à la façon de contourner ie11

12

Nous avons une application et la très longue histoire est que les choses doivent être configurées de cette façon pour que le reste de l'application ne tombe pas en panne.

Nous avons un domaine

https: // server01 / AppNet

Dans IIS, la liaison 443 est configurée pour utiliser un certificat avec:

CN = server02

Quand je frappe la page de

https: // server01 / AppNet

Je reçois un avertissement SSL

entrez la description de l'image ici

J'ai trouvé cet article

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Mais je voudrais éviter la partie sur:

"Malheureusement, cela empêchera également le navigateur de se plaindre des décalages d'adresses sur tous les autres sites que vous visitez. Ce n'est pas idéal, mais c'est le genre de compromis que vous pouvez faire lorsque vous utilisez IE."

J'ai également suivi les étapes décrites ci-dessous mais donne toujours une erreur

Fix 1 - Installez le certificat

Faites un clic droit sur l'icône «Internet Explorer», puis choisissez «Exécuter en tant qu'administrateur».

Visitez le site Web et choisissez l'option «Continuer vers ce site Web (non recommandé)».

Cliquez à l'endroit où il est écrit «Erreur de certificat» dans la barre d'adresse, puis choisissez «Afficher les certificats».

Sélectionnez «Installer le certificat…».

Sélectionnez «Suivant».

Sélectionnez l'option «Placer tous les certificats dans le magasin suivant».

Sélectionnez «Parcourir…».

Choisissez «Autorités de certification racines de confiance», puis sélectionnez «OK».

Sélectionnez «Oui» lorsque vous êtes invité avec l'avertissement de sécurité.

Sélectionnez «OK» dans le message «L'importation a réussi»

Sélectionnez «OK» dans la case «Certificat».

C'est uniquement pour le réseau interne

Puis-je ajouter quelque chose à IIS?

Puis-je ajouter quelque chose au DNS?

Y a-t-il d'autres solutions?

Anthony Fornito
la source
Pouvez-vous dire à l'utilisateur d'accéder à l'URI server2? qui vous permettra d'ajouter simplement l'entrée DNS d'un serveur2 pointant vers server1
yagmoth555
Je ne sais pas ce que tu veux dire? URI du serveur2?
Anthony Fornito
2
Pouvez-vous expliquer pourquoi il doit être mis en place de cette manière manifestement brisée, avec un certificat qui ne correspond pas? Cela ne semble pas être un point de départ raisonnable.
Håkan Lindqvist
Je sais, server01 héberge un ensemble d'applications héritées qui doivent parler à des ressources externes, ces ressources utilisent doivent utiliser server01 pour leur ssl, l'application est hébergée sur server01 mais le nom de domaine est redirigé vers server02 hébergé sur la même boîte, je ne recevez pas d'avertissement ssl lorsque vous accédez à server02 / AppNet car la correspondance CN, cependant lorsque vous appuyez sur Server01 / AppNet, j'obtiens l'erreur parce que la correspondance CN est incorrecte. name / ssl,
Anthony Fornito
1
En ce qui concerne la solution de contournement citée incluse dans la question, il s'agit d'une solution de contournement pour un avertissement concernant un certificat non approuvé. Ne s'applique pas aux différents scénarios d'un certificat avec un nom de sujet incorrect.
Håkan Lindqvist

Réponses:

14

Si vous avez accès à la création de vos certificats pour ce serveur, je vous suggère de créer un certificat qui inclut des noms alternatifs que le serveur peut être appelé. De cette façon, le navigateur résoudra automatiquement le nom correct.

Depuis https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Certificat SAN (Certificat de nom alternatif sujet)

Vous pouvez configurer le certificat générique si le nom de domaine de tous les sites est identique et si le sous-domaine de premier niveau change. Que faire si vous souhaitez configurer les sites qui devraient fonctionner sur deux noms de domaine différents, par exemple, un site avec en-tête d'hôte comme www.testserver1.com et un autre site avec hostheader comme www.testserver2.com. Dans ce cas, le certificat Wildcard ne vous aidera pas. Pour résoudre ce problème, nous avons un certificat SAN.

Un certificat SAN permet de protéger plusieurs noms de domaine avec un seul certificat. Par exemple, vous pouvez obtenir un certificat pour myserver.com, puis ajouter plus de valeurs SAN pour que le même certificat protège myserver.org, myserver.net et même myserver2.com ou www.example.com.

Vous pouvez voir les noms de domaine dans l'option Subject Alternative Name du certificat

sweetfa
la source
Oui, c'était ma première pensée et peut-être ma seule alternative, j'espérais être en mesure de trouver une solution de contournement parce que le propriétaire du serveur n'est pas là, mais si je ne trouve rien aujourd'hui, je le ferai demain et voir si cela fonctionne.
Anthony Fornito
Il n'y a rien que vous puissiez faire de votre côté, sauf désactiver la vérification de tous les noms d'hôte, ce qui, comme vous l'avez indiqué, n'est pas la meilleure pratique. Certains navigateurs vous permettent d'ignorer définitivement ce contrôle de sécurité, mais à partir de la mémoire, IE ne propose pas cette option
sweetfa