我们正在尝试解决 (IIS) SSL 证书不匹配问题。我们拥有数十个域名,用于各种业务。我们有多个网站在现场的 Netscaler 上进行负载平衡。例如,www.xyz.com 有 3 台服务器:p1、p2 和 p3。在极少数情况下,所有 3 台服务器都出现故障,或因升级/维护而故意停止服务,我们让 Netscaler 将流量重定向到另一台服务器,该服务器严格充当维护的“抱歉”服务器(例如 www.sorry.com)。这台抱歉服务器通常只会发出一条通用消息,表示网站因维护而停机。但是,我们有一些业务站点需要自定义维护消息。为了做到这一点,我们必须在抱歉服务器上为每个需要自定义消息的站点创建一个单独的网站。当主站点(httpS ://www.xyz.com)的流量重定向到 http(S) ://www.sorry.com 时,我们会遇到问题。浏览器引发证书不匹配,而企业并不喜欢最终用户出现这种情况。我们正在寻找方法来构建此问题,以便证书不匹配错误永远不会发生或不被看到。
一个解决方案是在服务器上使用覆盖多个域的通配符证书。这种方法成本有点高,但使用率却很低。
另一个解决方案似乎是在 Sorry 服务器上安装 www.xyz.com 的证书,但在 IIS 中,这需要为网站提供单独的专用 IP 才能安装原始 SSL 证书。我们有很多域名,因此这可能会占用我们的免费 IP 列表,如果我们必须设置、配置和维护所有这些重复项,这会成为一项管理麻烦。
最后,我们考虑过在抱歉的服务器上不使用 httpS,而是从 httpS 重定向到 http。然而,这似乎不是一个可行的长期解决方案,因为浏览器的行业标准似乎要求一切都必须使用 httpS,否则浏览器将开始向最终用户发出不安全的流量警告。
寻求想法和建议...谢谢