Apache 2.2.3/mod_ssl/CentOS 5.5 VPS
我们的证书已于 2011 年 10 月 6 日过期,即使我们看似正确安装了新证书,浏览该站点仍然显示证书已过期!我尝试删除浏览器缓存并使用几种不同的浏览器。ssl.conf 文件中的相关行(我已经排除了那些被注释掉的行):
Listen 127.0.0.1:443
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
# Note - I tried disabling SSLSessionCache with the "none" setting but it didn't help.
<VirtualHost 127.0.0.1:443>
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /var/certs/gentlemanjoe.com/new2011/gentlemanjoe.com.crt
SSLCertificateKeyFile /var/certs/gentlemanjoe.com/new2011/gentlemanjoe.com.key
SSLCertificateChainFile /var/certs/gentlemanjoe.com/new2011/gd_bundle.crt
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
ServerAdmin webmaster@donotemailme.com
DocumentRoot /var/www/gentlemanjoe.com
ServerName gentlemanjoe.com
<Directory /var/www/gentlemanjoe.com>
AllowOverride All …我将 IIS 8.0 中的站点 A 配置为具有绑定 ###.###.###.###:443 的 SSL 证书。我还将站点 B 配置为具有绑定 ###.###.###.###:443(相同 IP 但主机 = sub.domain.com)的不同证书对于站点 B 绑定,我检查了启用了 SNI 的框,因此 IIS 允许它。
问题是,我发现从支持 SNI 的浏览器加载站点 B 可以为站点 A 提供证书。我认为这是因为站点 A 绑定在技术上得到满足,因此 IIS 停止查看其他绑定来为请求提供服务。(我注意到该netsh http show sslcert命令似乎首先按显示顺序显示站点 A 绑定,尽管我不知道该顺序是否有意义。)
有没有办法更改 IIS 中的绑定顺序,以便它首先尝试将请求绑定到站点 B SNI 主机绑定,然后才回退到站点 A 非 SNI(仅限 IP:端口)绑定?(为了旧版兼容性,我不想在站点 A 绑定上启用 SNI。)