Ssl

SSL 證書顯然混淆了不同的網站

  • April 25, 2022

我的 VPS 包含十幾個網站,其中包括以下幾個 SSL 證書。

  • *.railtrax.com
  • *.insiderarticles.com

目前,所有 * .railtrax.com網站都執行良好。但是 * .insiderarticles.com網站(我只有一個)在瀏覽器中給了我一個錯誤(注意最後一段)。

您的連接不是私密的

攻擊者可能試圖從 insiderarticles.com 竊取您的資訊(例如,密碼、消息或信用卡)。

NET::ERR_CERT_COMMON_NAME_INVALID

該伺服器無法證明它是 insiderarticles.com;它的安全證書來自 *.railtrax.com。這可能是由於配置錯誤或攻擊者攔截了您的連接造成的。

如您所見,insiderarticles.com的證書表明它是發給 * .railtrax.com 的

Insiderarticles.com 證書

Insiderarticles.com 證書

但我選擇了正確的證書。

Insiderarticles.com 編輯綁定對話框

Insiderarticles.com 編輯綁定對話框

如果我使用 Jexus 執行綁定診斷,我會收到以下錯誤:

BINDING: http 74.208.136.116:80:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: http 74.208.136.116:80:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: https 74.208.136.116:443:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: https 74.208.136.116:443:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

如果我執行建議的命令,我會得到以下資訊。

在此處輸入圖像描述

但這對我沒有幫助。

有關證書的所有其他內容似乎都是有效的。我為 * .insiderarticles.com安裝了證書,它執行良好。在我為 *.railtrax.com 安裝證書後,這很可能是 insiderarticles.com 停止工作的時候。

這可能與需要伺服器名稱指示複選框有關嗎?對於insiderarticles.com ,此復選框已選中,對於所有 * .railtrax.com網站均未選中。我嘗試為所有 * .railtrax.com網站檢查此選項,但似乎沒有任何區別。

任何人都可以推薦後續步驟來解決此問題嗎?

最初,您只能對一個 IP 使用一個證書:埠對是 IIS。這是因為當 IIS 選擇要使用的證書時,在 SSL 握手期間主機標頭不可見。

為了解決這個限制,引入了SNI。它在 IIS 8 及更高版本中可用,並受到現代瀏覽器的支持(此處為列表)。您應該為所有網站啟用 SNI,但您可能希望為不支持 SNI 的舊版瀏覽器使用的網站關閉它。那些舊版瀏覽器仍會出現 SSL 證書名稱不匹配錯誤。

因此,您的選擇是以下之一:

  • 如果舊版瀏覽器支持不重要,請為所有網站啟用 SNI,除了您選擇作為舊版瀏覽器預設設置的網站
  • 再向您的伺服器添加一個公共 IP 地址。將每個證書綁定到不同的 IP:port 對
  • 購買一個可以涵蓋兩個萬用字元域的證書。它被稱為多域萬用字元 SSL 證書或 SAN 證書

引用自:https://serverfault.com/questions/1083421