SSL 证书似乎混淆了不同的网站

tag-icon tag-icon ssl iis windows-server-2012-r2 iis-8
SSL 证书似乎混淆了不同的网站

我的 VPS 包含十几个网站,拥有多个 SSL 证书,包括以下网站。

  • *.railtrax.com
  • *.insiderarticles.com

目前,所有 *.railtrax.com网站运行良好。但 *.insiderarticles.com网站(我只有一个)在浏览器中给出错误(请注意最后一段)。

您的连接不是私密的

攻击者可能试图从 insiderarticles.com 窃取您的信息(例如密码、消息或信用卡)。

NET::ERR_CERT_COMMON_NAME_INVALID

此服务器无法证明它是 insiderarticles.com;其安全证书来自 *.railtrax.com。这可能是由于配置错误或攻击者拦截您的连接造成的。

如您所见,insiderarticles.com表示已发给 *.railtrax.com

Insiderarticles.com 证书

insiderarticles.com 证书

但我已经选择了正确的证书。

Insiderarticles.com 编辑绑定对话框

insiderarticles.com 编辑绑定对话框

如果我使用 Jexus 运行绑定诊断,我会收到以下错误:

BINDING: http 74.208.136.116:80:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: http 74.208.136.116:80:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: https 74.208.136.116:443:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: https 74.208.136.116:443:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

如果我运行建议的命令,我会得到以下内容。

在此处输入图片描述

但这对我没有帮助。

证书的其他所有内容似乎都有效。我为 * 安装了证书.insiderarticles.com一切运行正常。在我为 *.railtrax.com 安装证书后,很可能 insiderarticles.com 就停止工作了。

这可能和要求指示服务器名称checkbox? 此复选框已选中insiderarticles.com并且未选中所有 *.railtrax.com网站。我尝试检查所有 * 的此选项.railtrax.com网站,但似乎并没有什么区别。

有人可以推荐下一步来解决这个问题吗?

答案1

最初,在 IIS 中,您只能对 IP:端口对使用单个证书。这是因为当 IIS 选择要使用的证书时,在 SSL 握手期间主机标头不可见。

作为解决这一限制的方法信噪比引入了此功能。此功能在 IIS 8 及更高版本中可用,并受现代浏览器支持(列表在这里)。您应该为所有网站启用 SNI,但您可能希望为不支持 SNI 的旧版浏览器使用的网站关闭它。这些旧版浏览器仍会收到 SSL 证书名称不匹配错误。

因此,您有以下选择之一:

  • 如果旧版浏览器支持并不重要,请为所有网站启用 SNI,但为旧版浏览器选择为默认网站的网站除外
  • 向您的服务器添加一个公共 IP 地址。将每个证书绑定到不同的 IP:端口对
  • 购买一个可以覆盖两个通配符域的证书。它被称为多域通配符 SSL 证书或 SAN 证书

答案2

我现在认为要求指示服务器名称是问题所在。

我表示我尝试检查此选项,以便我的所有railtrax.com网站,这没什么区别。今天再看,似乎我漏了一个。检查完那个之后,现在它似乎可以正常工作了。

可能还有其他因素在起作用。但目前看来这就是答案。我有点惊讶这里的大多数人似乎并不熟悉这一点。

答案3

我遇到了同样的问题。但就我而言,其中一个站点仅绑定到端口 80。我必须添加 HTTPS 绑定,然后选择 SNI。

相关内容