Использование SNI в Windows Server 2012 R2 не работает

10

введите описание изображения здесь

Я пытаюсь запустить оба своих сайта с отдельными сертификатами на Windows Server 2012 R2.

Разве это не возможно?

На последнем добавленном сайте www.c1get.net я получаю сертификат с первого сайта и, следовательно, предупреждение.

Обновить

SSL Certificate bindings:
-------------------------

    IP:port                      : 0.0.0.0:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : 100.88.158.59:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : owindemo.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : demo009.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.c1get.net:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled
iis windows-server-2012-r2 sni Пол К. Серенсен
источник
Какой выход вы получаете netsh http show sslcert?
Шейн Мэдден
добавил вывод
Poul K. Sørensen
3
Интересно, имеет ли какое-то значение связывание без SNI на этом IP-адресе? Любые изменения, если эта привязка отключена?
Шейн Мэдден
Как вы видите, что не SNI
Пол К. Соренсен
Вы имеете в виду это: 100.88.158.59:443. Я на самом деле не знаю, почему его там. Я перебираю все сайты в IIS, и в интерфейсе есть только привязки SNI
Poul K. Sørensen

Ответы:

11

Отвечая на это от имени Шейна Мэддена и s093294

Шейн: Интересно, имеет ли какое-то значение привязка без SNI к этому IP-адресу? Есть ли какие-либо изменения, если эта привязка отключена?

s093294: Хорошо. Это была проблема. Я удалил это с netsh http delete. Теперь мне просто нужно выяснить, почему это было в первую очередь. Это автоматическая настройка, которая развертывает компьютер в облачных службах Azure.

MichelZ
источник
Была такая же проблема с развертыванием облачной службы Azure и настройкой SNI. Я знаю, что это очень старый вопрос, но вам повезло с выяснением, в чем причина записи по умолчанию netsh http sslcert?
Сергей Литвинов
Позвольте мне прояснить: та же проблема на Windows Server 2016 с IIS10.0. очевидно, это своего рода БАГ, если добавить новую привязку SSL с IP-адресом (но без URL-адреса) и сертификацией, появится: эта сертификация будет отображаться на другом URL-адресе при открытии в браузере, независимо от того, удаляете ли вы связать проблему еще существует. Вам нужно проверить это: netsh http show sslcertв командной строке, если вы обнаружите, что есть привязка IP-адреса, но не в вашем IIS, вот и все. И нужно , чтобы удалить его вручную в командной строке: netsh http delete sslcert ipport=[bind IP address]:[bind port]. устал ....
qakmak