înregistrare Logare
Puncte:1
dcol avatar Server

IIS servește certificat greșit folosind SNI sau CCS

drapel bd
dcol

Am 3 site-uri web care folosesc toate același IP în IIS 10. Am configurat mai întâi legăturile https pentru a utiliza SNI cu adrese IP „toate atribuite” pe portul 443, folosind certificatul corect. Toate certificatele sunt cunoscute bune.Un singur site web primește certificatul SSL corect. Ceilalți doi primesc același certificat ca și locul de lucru. Așa că apoi am trecut la CCS. Am încărcat toate certificatele mele în același folder cu numele corecte. S-au schimbat site-urile din SNI în CCS. Totuși, doar un site funcționează. Am încercat să curăț cache-ul clientului. Apropo, totul a funcționat bine luni de zile până în weekendul trecut și nu am făcut nicio modificare la server. Este posibil să fi primit o actualizare Windows 2019 Orice sugestii despre ce pot face în continuare? Iată rezultatele netsh Site-ul care funcționează are un certificat wildcard de la Sectigo. Celelalte două sunt de la Let's Encrypt. Numele de domenii de pe toate trei sunt diferite.

IP:port: 0.0.0.0:8172
Hash certificat: d97778af0d232c0c2494eee481df37e5127425c9
ID aplicație: {00000000-0000-0000-0000-000000000000}
Nume magazin de certificate: MY
Verificați revocarea certificatului clientului: activată
Verificați revocarea utilizând numai certificatul client în cache: dezactivat
Verificare utilizare: activată
Timp de prospețime revocare: 0
Timp de recuperare URL: 0
Identificator Ctl: (null)
Nume magazin Ctl: (null)
Utilizare DS Mapper: Dezactivat
Negociați certificatul clientului: dezactivat
Respinge conexiunile: dezactivat
Dezactivați HTTP2: nesetat
Dezactivați QUIC: nesetat
Dezactivați TLS1.2: Nesetat
Dezactivați TLS1.3: Nesetat
Dezactivați capsarea OCSP: nesetat
Dezactivați versiunile TLS vechi: nesetat

IP:port: 192.168.20.34:443
Hash certificat: 211a5fb41e576e85c023f68452d77a91fc13b1eb
ID aplicație: {4dc3e181-e14b-4a21-b022-59fc669b0914}
Nume magazin de certificate: My
Verificați revocarea certificatului clientului: activată
Verificați revocarea utilizând numai certificatul client în cache: dezactivat
Verificare utilizare: activată
Timp de prospețime revocare: 0
Timp de recuperare URL: 0
Identificator Ctl: (null)
Nume magazin Ctl: (null)
Utilizare DS Mapper: Dezactivat
Negociați certificatul clientului: dezactivat
Respinge conexiunile: dezactivat
Dezactivați HTTP2: nesetat
Dezactivați QUIC: nesetat
Dezactivați TLS1.2: Nesetat
Dezactivați TLS1.3: Nesetat
Dezactivați capsarea OCSP: nesetat
Dezactivați versiunile TLS vechi: nesetat

Magazin central de certificate: 443
Hash certificat: (null)
ID aplicație: {4dc3e181-e14b-4a21-b022-59fc669b0914}
Nume magazin de certificate: (null)
Verificați revocarea certificatului clientului: activată
Verificați revocarea utilizând numai certificatul client în cache: dezactivat
Verificare utilizare: activată
Timp de prospețime revocare: 0
Timp de recuperare URL: 0
Identificator Ctl: (null)
Nume magazin Ctl: (null)
Utilizare DS Mapper: Dezactivat
Negociați certificatul clientului: dezactivat
Respinge conexiunile: dezactivat
Dezactivați HTTP2: nesetat
Dezactivați QUIC: nesetat
Dezactivați TLS1.2: Nesetat
Dezactivați TLS1.3: Nesetat
Dezactivați capsarea OCSP: nesetat
Dezactivați versiunile TLS vechi: nesetat
155
0 + 0
iis
sni
Lex Li avatar
drapel vn
Lex Li
Ți-ai verificat setările Windows HTTP API prin `netsh`?
0
Răspunde
dcol avatar
drapel bd
dcol
Da, toate arată bine folosind „netsh http show sslcert”
0
Răspunde
Lex Li avatar
drapel vn
Lex Li
Atunci ce se întâmplă dacă modificați fișierul `hosts` pe acel server (pentru a emula cele trei domenii local) și testați cele trei site-uri cu un browser pe serverul însuși? Dă aceeași eroare?
0
Răspunde
dcol avatar
drapel bd
dcol
A încercat asta. Deci, ceea ce am făcut a fost să muți acele site-uri pe un nou IP pe același server. Acum lucrează. Nu pot folosi același IP pentru toate cele trei site-uri chiar și cu SNI sau CCS
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
Acest lucru învinge întregul scop al SNI, care a fost de a permite mai multor site-uri HTTPS să folosească același IP. Mai este o problemă aici. Totuși, sunt administrator Linux, așa că nu vă pot spune despre ce este exact. Totuși, cineva ar trebui să poată face asta.
0
Răspunde
Lex Li avatar
drapel vn
Lex Li
@dcol „Am încercat asta”, deci care este rezultatul? Oricum, deoarece schimbarea unei adrese IP în legături rezolvă problema, cred că ai ceva în neregulă cu setările DNS. Dar cum s-a întâmplat această problemă este încă necunoscut. Dacă aș fi fost în locul dvs., ar fi trebuit să capturez pachetele de strângere de mână TLS și să le analizez în continuare pentru a afla cauza (pachetele de strângere de mână conțin suficiente informații despre cum ar trebui să răspundă SNI/CCS). Dar acum ai găsit măcar o soluție.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.