înregistrare Logare
Puncte:1
Jonathan Wood avatar Server

Certificatele SSL aparent confundă diferite site-uri web

drapel ug
Jonathan Wood

VPS-ul meu conține aproximativ o duzină de site-uri web, cu mai multe certificate SSL, inclusiv următoarele.

  • *.railtrax.com
  • *.insiderarticles.com

În prezent, toate *.railtrax.com site-urile web funcționează bine. Cu exceptia *.insiderarticles.com site-ul web (am doar unul) îmi dă o eroare în browser (rețineți ultimul paragraf).

Conexiunea ta nu este privată

Atacatorii ar putea încerca să vă fure informațiile de pe insiderarticles.com (de exemplu, parole, mesaje sau cărți de credit).

NET::ERR_CERT_COMMON_NAME_INVALID

Acest server nu a putut dovedi că este insiderarticles.com; certificatul său de securitate este de la *.railtrax.com. Acest lucru poate fi cauzat de o configurare greșită sau de interceptarea conexiunii de către un atacator.

După cum puteți vedea, certificatul pentru insiderarticles.com spune că a fost emis pentru *.railtrax.com.

Certificat Insiderarticles.com

certificat insiderarticles.com

Dar am selectat certificatul corect.

Insiderarticles.com Fereastra de dialog Editare legături

caseta de dialog Editare legături insiderarticles.com

Dacă folosesc Jexus pentru a rula diagnostice de legare, primesc următoarele erori:

LEGARE: http 74.208.136.116:80:insiderarticles.com
S-a găsit un interval de porturi rezervate TCP aflat în conflict. Rulați „netsh int ipv4 show excludedportrange protocol=tcp” la promptul de comandă pentru a depana.

LEGARE: http 74.208.136.116:80:www.insiderarticles.com
S-a găsit un interval de porturi rezervate TCP aflat în conflict. Rulați „netsh int ipv4 show excludedportrange protocol=tcp” la promptul de comandă pentru a depana.

LEGARE: https 74.208.136.116:443:insiderarticles.com
S-a găsit un interval de porturi rezervate TCP aflat în conflict. Rulați „netsh int ipv4 show excludedportrange protocol=tcp” la promptul de comandă pentru a depana.

LEGARE: https 74.208.136.116:443:www.insiderarticles.com
S-a găsit un interval de porturi rezervate TCP aflat în conflict.Rulați „netsh int ipv4 show excludedportrange protocol=tcp” la promptul de comandă pentru a depana.

Și dacă rulez comanda sugerată, primesc următoarele.

introduceți descrierea imaginii aici

Dar asta nu-mi este de ajutor.

Orice altceva despre certificate pare valabil. Am instalat certificatul pentru *.insiderarticles.com si mergea bine. După ce am instalat certificatul pentru *.railtrax.com, cel mai probabil, atunci insiderarticles.com a încetat să funcționeze.

Ar putea asta să aibă vreo legătură cu Necesită indicarea numelui serverului Caseta de bifat? Această casetă de selectare a fost bifată insiderarticles.com și nebifat pentru toate *.railtrax.com site-uri web. Am încercat să verific această opțiune pentru toate *.railtrax.com site-uri web, dar nu părea să facă nicio diferență.

Poate cineva să recomande pașii următori pentru a depana acest lucru?

251
0 + 0
iis
drapel de
Dallas
Îți spune de ce numele este invalid. Adresa URL este *.insiderarticles.com, dar certificatul nu se potrivește cu asta și spune că este destinat pentru *.railtrax.com . Se pare că certificatul greșit (articolele din interior) este legat de site-ul greșit (railtrax) și trebuie să legați certificatul railtrax (și intermediar) la site-ul railtrax. Ori asta, sau reemiteți un certificat cu ambele valori în Subiect Alternate Name, dacă sunt legate, și lanț la ambele.
0
Răspunde
Jonathan Wood avatar
drapel ug
Jonathan Wood
@Dallas: în dialogul de editare a legăturilor, selectez certificatele corecte din meniul drop-down. Cum altfel ar putea fi asociat cu site-ul certificatul greșit?
0
Răspunde
Lex Li avatar
drapel vn
Lex Li
Orice modificări pe care le-ați făcut în IIS Manager, sunt salvate în Windows HTTP API, https://docs.jexusmanager.com/tutorials/https-binding.html#background Deci, dacă ceva nu este în regulă, urmați principiile și verificați ce este în neregulă.
0
Răspunde
Jonathan Wood avatar
drapel ug
Jonathan Wood
@LexLi: Am instalat acel instrument, dar chiar nu știu cum mă ajută.Speram că cineva care cunoștea elementele de bază despre configurarea certificatelor SSL poate răspunde la câteva întrebări.
0
Răspunde
Lex Li avatar
drapel vn
Lex Li
Nu ți-am cerut să rulezi diagnostice obligatorii, deoarece acest lucru este irelevant, dar ți-am indicat să afli cum API-ul HTTP Windows potrivește cererile HTTPS primite cu certificatele corespunzătoare. Răspunsul pe care l-ați acceptat mai jos spune pur și simplu același lucru, deși nu poate spune conexiunea la API-ul HTTP.
0
Răspunde
Jonathan Wood avatar
drapel ug
Jonathan Wood
@LexLi: Nu, nu mi-ai spus să rulez diagnostice obligatorii. M-ați referit la un tutorial, care pare să acopere foarte multe detalii și mi-ați spus să urmez asta. Ar fi trebuit să fie clar că căutam pe cineva care ar putea să mă ajute să o restrâng. Publicarea unui link nu făcea asta.
0
Răspunde
Puncte:1
Jonathan Wood avatar Server
drapel ug
Jonathan Wood

Acum mă gândesc că Necesită indicarea numelui serverului este problema.

Am indicat că am încercat să verific această opțiune pentru toate railtrax.com site-uri web și că acest lucru nu a făcut nicio diferență. Privind din nou azi, se pare că am ratat unul. După ce l-am verificat, acum pare să funcționeze.

Este posibil ca aici să fie în joc altceva. Dar până acum se pare că acesta este răspunsul. Sunt puțin surprins că mai mulți oameni de aici nu păreau familiarizați cu asta.

0 + 0
Puncte:1
Jevgenij Martynenko avatar Server
drapel us
Jevgenij Martynenko

Inițial, puteați folosi doar un singur certificat pentru o pereche IP:port este IIS. Acest lucru se datorează faptului că antetul gazdei nu este vizibil în timpul strângerii de mână SSL atunci când IIS alege certificatul care urmează să fie utilizat.

Ca soluție la această limitare SNI a fost introdus. Este disponibil în IIS 8 și versiuni ulterioare și este acceptat de browserele moderne (lista este aici). Ar trebui să activați SNI pentru toate site-urile web, dar s-ar putea să doriți să îl dezactivați pentru un site web care ar fi utilizat de browserele vechi care nu acceptă SNI. Aceste browsere vechi vor primi în continuare o eroare de nepotrivire a numelui certificatului SSL.

Deci opțiunile dvs. sunt una dintre următoarele:

  • dacă suportul pentru browser vechi nu este important, activați SNI pentru toate site-urile web, cu excepția celui pe care îl alegeți ca implicit pentru browserele vechi
  • adăugați încă o adresă IP publică la serverul dvs. Legați fiecare certificat la o pereche IP:port diferită
  • achiziționați un singur certificat care poate acoperi ambele domenii wildcard. Se numește Multi-Domain Wildcard Certificate SSL sau SAN Certificate
0 + 0
Jonathan Wood avatar
drapel ug
Jonathan Wood
Mulțumesc, dar ambele certificate sunt certificate wildcard (puteți vedea asteriscul în dialogul de certificat). Am un alt certificat care nu este wildcard pe site. Dar asta pare să funcționeze bine.
0
Răspunde
Jevgenij Martynenko avatar
drapel us
Jevgenij Martynenko
Mi-am actualizat răspunsul cu explicații mai detaliate
0
Răspunde
Jonathan Wood avatar
drapel ug
Jonathan Wood
Mulțumiri. Atunci SNI nu joacă niciun rol în toate acestea?
0
Răspunde
Jevgenij Martynenko avatar
drapel us
Jevgenij Martynenko
Îmi pare rău, am ratat complet această parte. Mi-am actualizat răspunsul
0
Răspunde
Puncte:0
avatar Server
drapel ms
MultiValue

Am avut aceeasi problema. Dar, în cazul meu, unul dintre site-uri avea doar legături către portul 80. A trebuit să adaug o legare HTTPS și apoi să selectez SNI.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.