Niezgodność nazwy serwera SSL, jak obejść ie11

12

Mamy aplikację, a naprawdę długa historia jest taka, że ​​wszystko musi być skonfigurowane w ten sposób, aby reszta aplikacji nie zawiodła.

Mamy domenę

https: // server01 / AppNet

W IIS powiązanie 443 jest skonfigurowane do używania certyfikatu z:

CN = serwer02

Kiedy trafiłem na stronę dla

https: // server01 / AppNet

Dostaję ostrzeżenie SSL

wprowadź opis zdjęcia tutaj

Znalazłem ten artykuł

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Ale chciałbym uniknąć części o:

„Niestety, powstrzyma to również przeglądarkę od reklamowania niedopasowania adresu w każdej innej odwiedzanej witrynie. To nie jest idealne, ale jest to rodzaj kompromisu, który można uzyskać, korzystając z IE”.

Postępowałem również zgodnie z krokami opisanymi poniżej, ale nadal daję błąd

Poprawka 1 - Zainstaluj certyfikat

Kliknij prawym przyciskiem myszy ikonę „Internet Explorer”, a następnie wybierz „Uruchom jako administrator”.

Odwiedź witrynę i wybierz opcję „Przejdź do tej witryny (niezalecane)”.

Kliknij w pasku adresu napis „Błąd certyfikatu”, a następnie wybierz „Wyświetl certyfikaty”.

Wybierz „Zainstaluj certyfikat…”.

Wybierz „Dalej”.

Wybierz opcję „Umieść wszystkie certyfikaty w następującym magazynie”.

Wybierz „Przeglądaj…”.

Wybierz „Zaufane główne urzędy certyfikacji”, a następnie wybierz „OK”.

Wybierz „Tak”, gdy pojawi się monit ostrzegawczy.

Wybierz „OK” w komunikacie „Importowanie powiodło się”

Wybierz „OK” w polu „Certyfikat”.

Dotyczy to tylko sieci wewnętrznej

Czy mogę coś dodać do IIS?

Czy mogę coś dodać do DNS?

Jakieś inne prace?

ssl iis internal-dns Anthony Fornito
źródło
Czy możesz powiedzieć użytkownikowi, aby uzyskał dostęp do URI server2? które pozwolą Ci po prostu dodać wpis DNS serwera 2 wskazujący na serwer 1
yagmoth555
Nie jestem pewny co masz na myśli? Identyfikator URI serwera 2?
Anthony Fornito,
2
Czy potrafisz wyjaśnić, dlaczego należy go skonfigurować w ten oczywiście zepsuty sposób, z certyfikatem, który nie pasuje? To nie brzmi jak rozsądny punkt wyjścia.
Håkan Lindqvist,
Wiem, server01 hostuje szereg starszych aplikacji, które muszą rozmawiać z zasobami zewnętrznymi, z których korzystają użytkownicy server01 dla swojego ssl, aplikacja jest hostowana na server01, jednak nazwa domeny jest przekierowana na server02 hostowany na tym samym urządzeniu, I nie dostaję ostrzeżenia ssl podczas przechodzenia do server02 / AppNet, ponieważ dopasowanie CN, ale po naciśnięciu Server01 / AppNet pojawia się błąd, ponieważ niedopasowanie CN, więc krótko mówiąc, chciałbym być w stanie zignorować błąd z tego powodu name / ssl,
Anthony Fornito,
1
Jeśli chodzi o cytowane obejście zawarte w pytaniu, jest to obejście dla ostrzeżenia o niezaufanym certyfikacie. Nie dotyczy innego scenariusza certyfikatu o niewłaściwej nazwie podmiotu.
Håkan Lindqvist,

Odpowiedzi:

14

Jeśli masz dostęp do tworzenia certyfikatów dla tego serwera, sugeruję utworzenie certyfikatu zawierającego alternatywne nazwy, pod którymi serwer może być znany. W ten sposób przeglądarka automatycznie rozpozna poprawną nazwę.

Od https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Certyfikat SAN (podmiot alternatywnej nazwy certyfikatu)

Możesz skonfigurować certyfikat wieloznaczny, jeśli nazwa domeny dla wszystkich witryn jest taka sama, a subdomeny pierwszego poziomu ulegną zmianie. Co zrobić, jeśli chcesz skonfigurować witryny, które powinny działać na dwóch różnych nazwach domen, na przykład stronie z nagłówkiem hosta jako www.testserver1.com i innej witryny z nagłówkiem hosta jako www.testserver2.com. W takim przypadku certyfikat Wildcard nie pomoże. Aby rozwiązać ten problem, mamy certyfikat SAN.

Certyfikat SAN pozwala na ochronę wielu nazw domen za pomocą jednego certyfikatu. Na przykład możesz uzyskać certyfikat dla myserver.com, a następnie dodać więcej wartości SAN, aby chronić ten sam certyfikat myserver.org, myserver.net, a nawet myserver2.com lub www.example.com.

Możesz zobaczyć nazwy domen w opcji Alternatywna nazwa podmiotu w certyfikacie

sweetfa
źródło
Tak, to była moja pierwsza myśl, a może moja jedyna alternatywa. Miałem nadzieję, że uda mi się znaleźć sposób obejścia tego problemu, ponieważ nie ma właściciela serwera, ale jeśli nie dowiem się niczego dzisiaj, zrobię to jutro i sprawdzę, czy to zadziała.
Anthony Fornito,
Na końcu nie możesz nic zrobić poza wyłączeniem sprawdzania wszystkich nazw hostów, co, jak już wskazałeś, nie jest najlepszą praktyką. Niektóre przeglądarki pozwalają na stałe zignorować tę kontrolę bezpieczeństwa, ale z pamięci IE nie udostępnia tej opcji
sweetfa