web-dev-qa-db-ja.com

IIS 8-デフォルトのSSLサイトがSNIを破壊する

IIS 8を使用してWindows Server 2012 R2でSNIをテストする際のシナリオは次のとおりです。以下にリストされているドメイン名とIPアドレスは偽造であり、たとえば

WEB SITE NAME      IP ADDRESS     Host Name/Header (SNI)   Certificate Domain
==============================================================================
x.domain.com       10.10.0.1      x.domain.com             x.domain.com
y.domain.com       10.10.0.1      y.domain.com             y.domain.com

「x.domain.com」と「y.domain.com」のみが同じIPアドレスで独自の証明書を使用してSNIを使用して構成されている場合、両方のサイトがすべてのブラウザーで正常に動作しますが、どちらかのサイトを選択すると、IISは、「デフォルトのSSLサイトは作成されていません。SNI機能のないブラウザーをサポートするには、デフォルトのSSLサイトを作成することをお勧めします」というメッセージを表示します。

SNI Error

デフォルトのSSLサイト(HTTPSを使用して同じIPアドレスにあるが、ホスト名/ SNIがないサイト)を作成すると、同じIPアドレスにある他のSNIサイトの証明書が破損します。次のようにデフォルトのSSLサイトを追加すると

WEB SITE NAME      IP ADDRESS     Host Name/Header (SNI)   Certificate Domain
==============================================================================
somedomain.com     10.10.0.1      NULL                     somedomain.com

それが存在すると(私が使用する証明書は関係ありません)、IISがユーザーに指定された証明書ではなくデフォルトのSSLサイトの証明書を提供しているため、そのIPアドレスの他のSNIドメインは証明書エラーを生成しますIISのサイト用。

IISでデフォルトのSSLサイトを適切に構成する方法について、誰かが光を当てることができますか?

6
Beems

Somedomain.comバインディングのIPアドレスを10.10.0.1ではなく「All unassigned」に変更すると、[驚くほど] SNIサイトの邪魔にならなくなると思います。

2
franzo