Używanie SNI w systemie Windows Server 2012 R2 nie działa

10

wprowadź opis zdjęcia tutaj

Próbuję uruchomić obie moje witryny z osobnymi certyfikatami w systemie Windows Server 2012 R2.

Czy nie powinno to być możliwe?

Na ostatnio dodanej stronie www.c1get.net otrzymuję certyfikat z pierwszej strony i dlatego ostrzeżenie.

Aktualizacja

SSL Certificate bindings:
-------------------------

    IP:port                      : 0.0.0.0:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : 100.88.158.59:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : owindemo.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : demo009.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.c1get.net:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled
iis windows-server-2012-r2 sni Poul K. Sørensen
źródło
Z czego otrzymujesz netsh http show sslcert?
Shane Madden
dodano wynik
Poul K. Sørensen
3
Zastanawiam się, czy powiązanie inne niż SNI w tym adresie IP robi jakąś różnicę z jakiegoś powodu. Jakaś zmiana, jeśli to wiązanie jest wyłączone?
Shane Madden
Jak widzisz, który nie jest SNI
Poul K. Sørensen
Masz na myśli ten: 100.88.158.59:443. Właściwie to nie wiem, dlaczego tam jest. Przeglądam wszystkie strony w IIS i w interfejsie użytkownika są tylko wiązania SNI
Poul K. Sørensen

Odpowiedzi:

11

Odpowiadając na to w imieniu Shane'a Maddena i s093294

Shane: Zastanawiam się, czy powiązanie inne niż SNI w tym adresie IP robi jakąś różnicę z jakiegoś powodu .. Jakaś zmiana, jeśli to wiązanie jest wyłączone?

s093294: OK. To był problem. Usunąłem to za pomocą netsh http delete. Teraz muszę po prostu dowiedzieć się, dlaczego tak się stało. Jest to automatyczna konfiguracja, która wdraża komputer w lazurowych usługach chmurowych.

MichelZ
źródło
Miał ten sam problem z wdrażaniem usługi w chmurze Azure i konfiguracją SNI. Wiem, że to bardzo stara kwestia, ale czy udało ci się dowiedzieć, co było przyczyną domyślnych zapisów netsh http sslcert?
Siergiej Litwinow
Pozwól, że wyjaśnię: ten sam problem w systemie Windows Server 2016 z IIS10.0. oczywiście jest to pewien BŁĄD. Jeśli dodasz nowe powiązanie SSL z adresem IP (ale bez nazwy adresu URL) i certyfikacją, pojawi się: ta certyfikacja będzie wyświetlana pod innym adresem URL podczas otwierania jej w przeglądarce, bez względu na to, że ją usuniesz powiązanie problem nadal istnieje. Musisz to sprawdzić przez: netsh http show sslcertw linii poleceń, jeśli dowiesz się, że istnieje powiązanie adresu IP, ale nie w IIS, to wszystko. I trzeba usunąć go ręcznie w linii poleceń: netsh http delete sslcert ipport=[bind IP address]:[bind port]. zmęczony ....
qakmak