SSL 證書顯然混淆了不同的網站
我的 VPS 包含十幾個網站,其中包括以下幾個 SSL 證書。
- *.railtrax.com
- *.insiderarticles.com
目前,所有 * .railtrax.com網站都執行良好。但是 * .insiderarticles.com網站(我只有一個)在瀏覽器中給了我一個錯誤(注意最後一段)。
您的連接不是私密的
攻擊者可能試圖從 insiderarticles.com 竊取您的資訊(例如,密碼、消息或信用卡)。
NET::ERR_CERT_COMMON_NAME_INVALID
該伺服器無法證明它是 insiderarticles.com;它的安全證書來自 *.railtrax.com。這可能是由於配置錯誤或攻擊者攔截了您的連接造成的。
如您所見,insiderarticles.com的證書表明它是發給 * .railtrax.com 的。
Insiderarticles.com 證書
但我選擇了正確的證書。
Insiderarticles.com 編輯綁定對話框
如果我使用 Jexus 執行綁定診斷,我會收到以下錯誤:
BINDING: http 74.208.136.116:80:insiderarticles.com Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot. BINDING: http 74.208.136.116:80:www.insiderarticles.com Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot. BINDING: https 74.208.136.116:443:insiderarticles.com Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot. BINDING: https 74.208.136.116:443:www.insiderarticles.com Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.如果我執行建議的命令,我會得到以下資訊。
但這對我沒有幫助。
有關證書的所有其他內容似乎都是有效的。我為 * .insiderarticles.com安裝了證書,它執行良好。在我為 *.railtrax.com 安裝證書後,這很可能是 insiderarticles.com 停止工作的時候。
這可能與需要伺服器名稱指示複選框有關嗎?對於insiderarticles.com ,此復選框已選中,對於所有 * .railtrax.com網站均未選中。我嘗試為所有 * .railtrax.com網站檢查此選項,但似乎沒有任何區別。
任何人都可以推薦後續步驟來解決此問題嗎?
最初,您只能對一個 IP 使用一個證書:埠對是 IIS。這是因為當 IIS 選擇要使用的證書時,在 SSL 握手期間主機標頭不可見。
為了解決這個限制,引入了SNI。它在 IIS 8 及更高版本中可用,並受到現代瀏覽器的支持(此處為列表)。您應該為所有網站啟用 SNI,但您可能希望為不支持 SNI 的舊版瀏覽器使用的網站關閉它。那些舊版瀏覽器仍會出現 SSL 證書名稱不匹配錯誤。
因此,您的選擇是以下之一:
- 如果舊版瀏覽器支持不重要,請為所有網站啟用 SNI,除了您選擇作為舊版瀏覽器預設設置的網站
- 再向您的伺服器添加一個公共 IP 地址。將每個證書綁定到不同的 IP:port 對
- 購買一個可以涵蓋兩個萬用字元域的證書。它被稱為多域萬用字元 SSL 證書或 SAN 證書