我已经在 IIS 8.5 (Windows 2012 Standard) 上设置了集中式证书。我有以下证书可用,其中包括:
CN=*.dev2.pressero.com, OU=Domain Control Validated
CN=*.pressero.com, OU=Domain Control Validated
我设置了一个带有 https 绑定 platform.dev2.pressero.com(端口 443)的站点。我预期它会使用上面的第一个证书,但它使用的是第二个证书(因此由于名称不匹配而无法连接)。
除了从集中存储中删除第二个证书之外,我还有其他选择吗?
[编辑 1] 以下是我的共享 SSL 存储中的文件。如您所见,它们都符合评论中给出的链接所述的规范。[编辑 2:不,不是。正在尝试重命名。]
[编辑3]:重命名后,同样的问题。我甚至尝试添加一个与网站名称完全相同的 _dev2.pressero.com.pfx 副本。它仍然想要使用 *.pressero.com 证书。IIS 重新启动了几次。
myrapidcolor.com.pfx
owlstamp.com.pfx
platform.dev2.pressero.com.pfx
store.factorymart.com.pfx
sydneytradeprint.com.au.pfx
WMsvc-DEVPRESSERO-export.pfx
www.justwinelabels.com.pfx
www.realtimelabeldesign.com.pfx
_.dev.pressero.com.pfx
_.dev2.pressero.com.pfx
_.edocbuilder,com.pfx
_.orderingplatform.com.pfx
_.pressero.com.pfx
_.printingstorefrontsolutions.com.pfx
_.staging.pressero.com.pfx
答案1
当您将 SSL 证书导出到 pfx 文件时,请将证书命名为将用作 SSL 绑定的主机标头值的相同名称。此指定是为站点查找和加载正确证书的方式,因为使用此配置时您不再将特定 SSL 证书绑定到站点。
但请稍等,还有更多!
通配符证书
IIS 提供程序使用下划线字符作为特殊字符来表示它是通配符证书。如果 SSL 证书中的主题名称是 *.contoso.com,则文件名应为“_.contoso.com.pfx”。注意:IIS 提供程序将首先尝试搜索文件名与目标站点的域名完全匹配的 SSL 证书。例如,如果目标站点是 www.contoso.com,则 IIS 提供程序首先尝试查找 www.consoto.com.pfx。如果不成功,则它会尝试查找 _.contoso.com
所以这个故事的寓意就是:下划线。