web-dev-qa-db-ja.com

IIS 7.5-1つのIPアドレスで2つのSSL証明書を構成できませんか?

すべてのウェブサイトにHTTPSを設定しています。残念ながら、IISの経験はあまりありません。

私は2つの証明書を持っています。1つはEV-UCC-Certificateで、10個のサブドメインが含まれています。サブドメインは、次のような2つの異なるドメインからのものです。

shop.abcdomain.com
www.xzydomain.com

また、これらのドメインの1つにワイルドカード証明書を持っています*.abcdomain.com

両方のドメインが同じIISサーバーで同じIPアドレスの下で実行されています。

一部のサイトにワイルドカード証明書を割り当てると、すべてが正常に機能しますが、EV-UCC証明書をIISの同じ「サイト」コレクションにある別のサイトに割り当てようとすると、次のエラーが発生します

少なくとも1つの他のサイトが同じHTTPSバインディングを使用しており、そのバインディングは別の証明書で構成されています

私はこれに少し混乱しています。同じIISで2つの異なる証明書を割り当てることができないのはなぜですか? IISではSSL証明書を1つだけにすることができますか?もしそうなら、IIS彼が2つのSSL証明書を運ぶことができると思うようにするための回避策はありますか?

Windows Server 2008 R2でIIS 7.5を実行しています。

3
SimonS

本来、1つのSSL証明書のみを同じIP /ポートの組み合わせに割り当てることができます。これは、ホストヘッダーが暗号化されており、HTTPレイヤーはどのホストが要求され、どの証明書をクライアントに提示する必要があるかを推測できないためです。

もしそうなら、IISが2つのSSL証明書を運ぶことができると思うようにするための回避策はありますか?

いいえ、Windows Server 2008 R2には回避策はありません。ただし、Windows Server 2012(IIS8)以降、 サーバー名表示(SNI) TLS拡張を使用して、複数の証明書を同じIP /ポートの組み合わせにバインドする方法があります。元のSSL/TLSとは異なり、SNIは暗号化されていないホストヘッダーを使用します。 IIS IIS8より前のバージョンは、暗号化されていないヘッダーをサポートしていません。詳細は http://blogs.msdn.com/b/kaushal/archive/2012/09/04/ server-name-indication-sni-in-iis-8-windows-server-2012.aspx

または、サービスをさまざまなTCP=ポートにバインドし、各ポートに証明書を割り当てることもできます。

7
Crypt32