So konfigurieren Sie eine Standard-Website für https mit SNI und CCS

Verwenden wir IIS8.5 nur mit der Standardwebsite konfiguriert, aber mit tausenden von domains verweisen auf den gleichen load-balanced IP.

Planen wir bieten https (SSL) für alle diese Tausende von domains. Alle .pfx Zertifikate gespeichert werden in einem zentralen Zertifikatsspeicher (CCS) und wird an dieselbe web-site mit der gleichen IP durch die Server Name Indication (SNI) - Funktion.

SNI und CCS funktioniert gut für diesen Zweck, aber nur wenn wir noch eine explizite Gebote für jede Domäne in der Standard-web-site, die nicht praktisch für Tausende von domains:

        <site name="Default Web Site" id="1">
            <application path="/">
                <virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />
            </application>
            <bindings>
                <binding protocol="http" bindingInformation="*:80:" />
                <binding protocol="https" bindingInformation="*:443:www.domain1.com.br" sslFlags="3" />
                <binding protocol="https" bindingInformation="*:443:www.domain2.com.br" sslFlags="3" />
                <binding protocol="https" bindingInformation="*:443:www.domain3.com.br" sslFlags="3" />
                ...
                ...
                ...
                <binding protocol="https" bindingInformation="*:443:www.otherdomain9998.com.br" sslFlags="3" />
                <binding protocol="https" bindingInformation="*:443:www.otherdomain9999.com.br" sslFlags="3" />
                ...
            </bindings>
        </site>

Ich versuchte, konfigurieren Sie eine Standard-https-Protokoll verbindlich, in der gleichen Weise von der Standard-http-Protokoll-Bindung und mit sslFlags="3", was bedeutet, dass SNI+CCS:

        <site name="Default Web Site" id="1">
            <application path="/">
                <virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />
            </application>
            <bindings>
                <binding protocol="http" bindingInformation="*:80:" />
                <binding protocol="https" bindingInformation="*:443:" sslFlags="3" />
            </bindings>
        </site>

Mit der oben genannten Konfiguration, kein SSL-Zertifikat serviert, auf jedem browser.

Gibt es irgendeine andere Möglichkeit zum konfigurieren eines Standard-web-site https mit SNI und CCS?

Ich würde wirklich zu schätzen jede Hilfe, indem Sie mich in die richtige Richtung.

Danke!

Guilherme

  • "...durch die Server Name Indication (SNI) - Funktion" - oh, das wird schmerzhaft sein. Windows XP SChannel nicht unterstützt SNI; und auch nicht einer Reihe von kompatiblen clients (in Millionen Android-Geräte und Freunden). Und clients, die Sie unterstützen könnte oft nicht inserieren, SNI, da Programmierer immer noch verwenden SSLv3 im Jahr 2014 (SNI ist eine TLS-Funktion).
  • Wir sahen SNI Akzeptanz zu erhöhen, fast 98% unserer Kunden in Brasilien. Windows XP wird immer mehr zu vernachlässigen. Also wir denke, es ist Zeit, es zu versuchen, weil der IPv4-Knappheit und einer jüngsten Entscheidung von Google für die Verwendung von HTTPS als ranking-signal: link
  • Das problem ist, dass wir-host-Dienst, der verwendet wird, um mehr als 25.000 domains die gleiche IP und die gleiche IIS-website! Derzeit sind die Eigentümer der einzelnen domains einfach konfiguriert die DNS verweisen auf unsere IP und alles funktioniert gut, wenn Sie mithilfe von http. Für https ist, werden zwei zusätzliche Schritte: 1) Senden Sie die Domäne des pfx an das CCS 2) Fügen Sie die Domäne, die die Bindung an die default web site. Wir möchten einen Standard-web-site https mit SNI und CCS, so dass wir nicht haben, um alle diese Bindungen in der applicationHost.config-Datei. Dies wäre ein Schmerz, auch mit PowerShell!
  • Ich verstehe nur nicht, warum Microsoft nicht implementiert einen Standard-web-server-Funktionalität für https und CCS+SNI. Auf diese Weise konnten wir einfach die 25.000+ domain pfx-Dateien in den CSS-repository und der Standard-web-site würde reagieren auf http-und https-ohne explizite Bindung. Oder vielleicht Taten Sie es? Jede Hilfe wird sehr geschätzt!
InformationsquelleAutor Guilherme Rudnitzki | 2014-08-20
  1. 5

    Fall gelöst!

    1) Zuerst habe ich verwendet von IIS zum erstellen eine gefälschte SSL-Bindung in der default-web-site http://www.whatever.com mit SNI und CCS.

    2) Dann habe ich manuell bearbeitet diese Schein-verbindlichen Eintrag in der applicationHost.config-Datei wie folgt:

    AUS:

    <binding protocol="https" bindingInformation="*:443:www.whatever.com" sslFlags="3" />

    ZU:

    <binding protocol="https" bindingInformation="*:443:" sslFlags="3" />

    3) Schließlich schickte ich meine Zertifikate an den CCS Ordner. Nach etwa 5 Minuten, die neue SSL-Seiten wurden automatisch aktiviert IIS.

    In anderen Worten, ich habe einen Standard-web-site für SSL mit vielen Zertifikate in die gleiche IP-und das, ohne eine Bindung für jeden!

    Dies ist Super!!!!!

    InformationsquelleAutor Guilherme Rudnitzki
Schreibe einen Kommentar