IIS 8を使用してWindows Server 2012 R2でSNIをテストする際のシナリオは次のとおりです。以下にリストされているドメイン名とIPアドレスは偽造であり、たとえば。
WEB SITE NAME IP ADDRESS Host Name/Header (SNI) Certificate Domain
==============================================================================
x.domain.com 10.10.0.1 x.domain.com x.domain.com
y.domain.com 10.10.0.1 y.domain.com y.domain.com
「x.domain.com」と「y.domain.com」のみが同じIPアドレスで独自の証明書を使用してSNIを使用して構成されている場合、両方のサイトがすべてのブラウザーで正常に動作しますが、どちらかのサイトを選択すると、IISは、「デフォルトのSSLサイトは作成されていません。SNI機能のないブラウザーをサポートするには、デフォルトのSSLサイトを作成することをお勧めします」というメッセージを表示します。
デフォルトのSSLサイト(HTTPSを使用して同じIPアドレスにあるが、ホスト名/ SNIがないサイト)を作成すると、同じIPアドレスにある他のSNIサイトの証明書が破損します。次のようにデフォルトのSSLサイトを追加すると
WEB SITE NAME IP ADDRESS Host Name/Header (SNI) Certificate Domain
==============================================================================
somedomain.com 10.10.0.1 NULL somedomain.com
それが存在すると(私が使用する証明書は関係ありません)、IISがユーザーに指定された証明書ではなくデフォルトのSSLサイトの証明書を提供しているため、そのIPアドレスの他のSNIドメインは証明書エラーを生成しますIISのサイト用。
IISでデフォルトのSSLサイトを適切に構成する方法について、誰かが光を当てることができますか?
Somedomain.comバインディングのIPアドレスを10.10.0.1ではなく「All unassigned」に変更すると、[驚くほど] SNIサイトの邪魔にならなくなると思います。