Gui*_*zki 3 ssl https binding sni iis-8.5
我们仅在配置了默认网站的情况下使用IIS8.5,但是在同一个负载平衡IP上有数千个指向它的域。
我们计划为所有这数千个域提供https(SSL)。由于服务器名称指示(SNI)功能,所有.pfx证书都将存储在中央证书存储(CCS)中,并使用相同的IP绑定到相同的网站。
SNI和CCS可以很好地达到此目的,但前提是我们必须在默认网站中为每个域添加明确的出价,而这对于数千个域都不可行:
<site name="Default Web Site" id="1">
<application path="/">
<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />
</application>
<bindings>
<binding protocol="http" bindingInformation="*:80:" />
<binding protocol="https" bindingInformation="*:443:www.domain1.com.br" sslFlags="3" />
<binding protocol="https" bindingInformation="*:443:www.domain2.com.br" sslFlags="3" />
<binding protocol="https" bindingInformation="*:443:www.domain3.com.br" sslFlags="3" />
...
...
...
<binding protocol="https" bindingInformation="*:443:www.otherdomain9998.com.br" sslFlags="3" />
<binding protocol="https" bindingInformation="*:443:www.otherdomain9999.com.br" sslFlags="3" />
...
</bindings>
</site>
我尝试以默认的HTTP协议绑定的相同方式并使用sslFlags =“ 3”来配置默认的https协议绑定,这意味着SNI + CCS:
<site name="Default Web Site" id="1">
<application path="/">
<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />
</application>
<bindings>
<binding protocol="http" bindingInformation="*:80:" />
<binding protocol="https" bindingInformation="*:443:" sslFlags="3" />
</bindings>
</site>
使用上述配置,不会向任何浏览器提供SSL证书。
还有其他使用SNI和CCS为https配置默认网站的方法吗?
我真的很感谢为我指明正确方向的任何帮助。
谢谢!
吉尔赫姆
案子解决了!
1)首先,我使用IIS使用SNI和CCS在www.whatever.com的默认网站中创建了伪造的SSL绑定。
2)然后,我在applicationHost.config文件中手动编辑了该伪造的绑定条目,如下所示:
从:
<binding protocol="https" bindingInformation="*:443:www.whatever.com" sslFlags="3" />
至:
<binding protocol="https" bindingInformation="*:443:" sslFlags="3" />
3)最后,我将证书发送到CCS文件夹。大约5分钟后,IIS将自动激活新的SSL站点。
换句话说,我有一个默认的SSL网站,它使用同一IP中的许多证书,而没有为每个证书创建绑定!
这很棒!!!
| 归档时间: |
|
| 查看次数: |
12349 次 |
| 最近记录: |