Windows

IIS 7.5 - 不能在一個 IP 地址下配置兩個 SSL 證書?

  • January 1, 2021

我們正在為所有網站設置 HTTPS。不幸的是,我在 IIS 方面並沒有真正的經驗。

我有兩個證書,一個是包含 10 個子域的 EV-UCC-Certificate。子域來自兩個不同的域,如下所示:

shop.abcdomain.com
www.xzydomain.com

我也有這些域之一的萬用字元證書*.abcdomain.com

兩個域在同一 IP 地址下的同一 IIS 伺服器上執行。

當我將萬用字元證書分配給我的某些站點時,一切正常,但是當我想將 EV-UCC 證書分配給 IIS 中相同“站點”集合中的另一個站點時,我收到以下錯誤

至少一個其他站點正在使用相同的 HTTPS 綁定,並且該綁定配置了不同的證書

我對此有點困惑。為什麼我不能在同一個 IIS 上分配兩個不同的證書?在 IIS 上只能是一個 SSL 證書嗎?如果是這樣,是否有解決方法讓 IIS 認為他可以攜帶兩個 SSL 證書?

我在 Windows Server 2008 R2 上執行 IIS 7.5

最初,只能將一個 SSL 證書分配給相同的 IP/埠組合。這是因為主機頭是加密的,HTTP 層無法猜測請求哪個主機以及應該向客戶端提供哪個證書。

如果是這樣,是否有解決方法讓 IIS 認為他可以攜帶兩個 SSL 證書?

不,Windows Server 2008 R2 中沒有解決方法。但是,從 Windows Server 2012 (IIS8) 開始,可以使用伺服器名稱指示 (SNI) TLS 擴展將多個證書綁定到同一個 IP/埠組合。與原始 SSL/TLS 不同,SNI 使用未加密的主機標頭。IIS8 之前的 IIS 版本不支持未加密的標頭。更多閱讀:https ://docs.microsoft.com/en-us/archive/blogs/kaushal/server-name-indication-sni-with-iis-8-windows-server-2012

或者,您可以將您的服務綁定到不同的 TCP 埠並將證書分配給每個埠。

引用自:https://serverfault.com/questions/761089