2017-10-18 40 views
0

Je rencontre un problème lors de l'utilisation du magasin de certificats centraux IIS8 avec un certificat générique. J'ai une batterie de serveurs Web configurée pour utiliser CCS. J'ai un certificat de wild card "* .delaneywilson.com". J'ai créé un fichier pfx pour le CERT générique, nommé "_.delaneywilson.com" (comme indiqué par Microsoft et d'autres articles sur le web), puis l'ai déposé dans mon répertoire SSL partagé. Le certificat apparaît dans IIS sans problème.IIS 8.5, Banque de certificats centralisée, SSL Wildcard et site Web sans nom d'hôte

J'ai créé des liaisons pour www.delaneywilson.com et delaneywilson.com, toutes deux utilisant le port 443, définies sur "Toutes non attribuées", "Exiger l'identification du nom du serveur" et "Utiliser le magasin de certificats centralisé". La liaison avec le www fonctionne bien, mais la liaison sans nom d'hôte ne fonctionne pas.

En fait, tout ce que j'applique des œuvres liant tant qu'il est un nom d'hôte:

https://www.delaneywilson.com -> Works 
https://anything.delaneywilson.com -> Works 
https://something.delaneywilson.com -> Works 
https://delaneywilson.com -> Does not work 

Tout ce que j'ai lu me porte à croire que les certificats génériques sont pris en charge en utilisant IIS8.x CCS, mais Je ne peux pas faire "juste" le nom de domaine.

Il est indiqué pour les certificats UCC que vous devez réellement dupliquer le certificat et le supprimer dans le répertoire partagé une fois pour chaque domaine pris en charge par le certificat UCC. J'ai essayé quelque chose de similaire avec le certificat générique, mais cela n'a pas fonctionné. En fait, le certificat ne figurait pas du tout dans la liste CCS. (Ce qui est attendu puisque le certificat est * .dealneywilson.com et non delaneywilson.com). Je peux contourner ce problème en forçant juste une redirection de ma balance de charge de delaneywilson.com à www.delaneywilson.com, mais je pense que ce serait mieux si cela fonctionnait.

Pour l'instant, je viens de revenir à l'installation des certificats sur chaque serveur, puis de configurer mes liaisons pour utiliser SNI et mon magasin de certificats local. Cela semble fonctionner sans problèmes. Pour une petite ferme de 5 serveurs et quelques sites web, ce n'est pas un gros problème, mais j'ai besoin d'utiliser le CCS pour une ferme Web de 24 serveurs hébergeant 6500 domaines et sa configuration tout simplement trop.

Quelqu'un peut-il confirmer qu'il s'agit d'un bogue dans IIS 8.5 CCS?

+0

Je crois que la liaison sans le nom d'hôte ne fonctionne pas parce que IIS simplement n'a pas de valeur à utiliser pour pouvoir trouver le certificat correspondant. Donc ce n'est pas un bug. – Hames

+0

Le certificat générique fonctionne si je n'utilise pas le magasin de certificats central. Cela me semble donc être un bug. – user2033791

+0

OK donc après avoir regardé [HTTP Over TLS] (http://www.ietf.org/rfc/rfc2818.txt) je pense que vous avez raison après tout. Ce n'est pas un bug. Le fait que cela fonctionne quand je télécharge le certificat sur le serveur est probablement un bug :) – user2033791

Répondre

0

[Option One]

acheter un autre certificat SSL pour juste le "delaneywilson.com"

[Option Deux]

Ajouter le nom DNS "delaneywilson.com" dans le domaine SAN de le certificat "* .delaneywilson.com"

+0

Le certificat générique devrait fonctionner pour les deux. Je ne devrais pas avoir à payer pour un cert supplémentaire. Merci pour la suggestion cependant. – user2033791

+0

[Expurgé - voir commentaire ci-dessus]] Le certificat générique devrait fonctionner pour les deux. Je ne devrais pas avoir à payer pour un cert supplémentaire. . Merci pour la suggestion que [expurgée] – user2033791

0

Le certificat générique sécurise le domaine et l'ajoute en tant que SAN dans le certificat par défaut. Donc, si vous avez pris * .abc.com abc.com est ajouté en tant que SAN dans le certificat automatiquement. Si ce n'est pas le cas, vous pouvez contacter votre autorité de certification et lui demander de réémettre le certificat avec le domaine ajouté en tant que SAN.

Oui, un CSR doit être généré à nouveau pour que la réémission ait lieu.

0

Il y a certains CA qui inclut le domaine principal (sans www) sous Subject Alternative Name (SAN) lorsque vous procurer le certificat générique

Il suffit de suivre l'étape suivante pour vérifier si delaneywilson.com est ajouté en tant que SAN

Accédez à IIS et double-cliquez sur le certificat de delaneywilson.com >> cliquez sur l'onglet détails >> Faites un peu et cliquez sur le sujet Nom Alternative

Je posterai une image pour votre référence enter image description here

+0

donc je l'ai vérifié que vous suiggested et je vois: Nom DNS = * delaneywilson.com Nom DNS = delaneywilson.com Donc, apparemment, il est un bug.? Cela ne fonctionne définitivement pas avec les certificats centralisés. – user2033791

+0

Si vous pouvez voir ce nom DNS = *. Delaneywilson.com Nom DNS = delaneywilson.com alors il ne devrait y avoir aucun problème. De toute façon, vous essayez de prendre un certificat générique d'essai de toute autre autorité de certification pendant un mois et essayez de tester le même – rodriguesf53