บรรจวบ เข้าสู่ระบบ
Score:0
Jimbot avatar Server

IIS 10 - Https ที่มีสัญลักษณ์แทนไม่ให้บริการใบรับรองที่ดี (SNI)

ธง cn
Jimbot

ฉันมีไซต์ IIS เพียงสองไซต์:

  • โดเมนย่อย.domain1.com
  • โดเมนย่อย.domain2.com

และใบรับรองสองใบ:

  • subdomain.domain1.com มาตรฐานเดียว
  • *.domain2.com หนึ่งสัญลักษณ์แทน

ด้วยเหตุผลแปลกๆ บางอย่าง ไซต์ที่มีสัญลักษณ์แทนดูเหมือนได้รับการกำหนดค่าอย่างถูกต้องทั้งในคอนโซลและ netsh http แสดง sslcertแต่เมื่อฉันเข้าถึงไซต์ด้วยเบราว์เซอร์ใด ๆ ไซต์นั้นล้มเหลวโดยมีข้อผิดพลาด NET::ERR_CERT_COMMON_NAME_INVALID. เมื่อฉันตรวจสอบใบรับรอง มันระบุว่า subdomain.domain1.com ไซต์อื่น (subdomain.domain1.com) ทำงานได้อย่างสมบูรณ์และถูกสร้างขึ้นก่อน

ผลลัพธ์ของ netsh http แสดง sslcert :

การผูกใบรับรอง SSL:
----------------------------

    IP:พอร์ต : subdomain.domain1.com:443
    แฮชใบรับรอง: e36cffe0f7a817ca39dca65955a194d83671dd67
    รหัสแอปพลิเคชัน : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    ชื่อร้านค้าใบรับรอง : My
    ตรวจสอบการเพิกถอนใบรับรองไคลเอนต์ : เปิดใช้งาน
    ตรวจสอบการเพิกถอนโดยใช้ Cached Client Certificate เท่านั้น : ปิดใช้งาน
    ตรวจสอบการใช้งาน : เปิดใช้งาน
    เวลาความสดของการเพิกถอน : 0
    หมดเวลาการดึง URL : 0
    ตัวระบุ Ctl : (null)
    ชื่อร้าน Ctl : (null)
    การใช้งาน DS Mapper : ปิดใช้งาน
    เจรจาใบรับรองไคลเอนต์ : ปิดใช้งาน
    ปฏิเสธการเชื่อมต่อ : ปิดใช้งาน
    ปิดใช้งาน HTTP2 : ไม่ได้ตั้งค่า
    ปิดใช้งาน QUIC : ไม่ได้ตั้งค่า
    ปิดใช้งาน TLS1.2 : ไม่ได้ตั้งค่า
    ปิดใช้งาน TLS1.3 : ไม่ได้ตั้งค่า
    ปิดใช้งานการเย็บเล่ม OCSP : ไม่ได้ตั้งค่า
    ปิดใช้งานเวอร์ชัน TLS เดิม: ไม่ได้ตั้งค่า

    IP:พอร์ต : subdomain.domain2.com:443
    แฮชใบรับรอง: 7c681697ebed1bd653bb08bcbec5cb719795eb64
    รหัสแอปพลิเคชัน : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    ชื่อร้านค้าใบรับรอง : : My
    ตรวจสอบการเพิกถอนใบรับรองไคลเอนต์ : เปิดใช้งาน
    ตรวจสอบการเพิกถอนโดยใช้ Cached Client Certificate เท่านั้น : ปิดใช้งาน
    ตรวจสอบการใช้งาน : เปิดใช้งาน
    เวลาความสดของการเพิกถอน : 0
    หมดเวลาการดึง URL : 0
    ตัวระบุ Ctl : (null)
    ชื่อร้าน Ctl : (null)
    การใช้งาน DS Mapper : ปิดใช้งาน
    เจรจาใบรับรองไคลเอนต์ : ปิดใช้งาน
    ปฏิเสธการเชื่อมต่อ : ปิดใช้งาน
    ปิดใช้งาน HTTP2 : ไม่ได้ตั้งค่า
    ปิดใช้งาน QUIC : ไม่ได้ตั้งค่า
    ปิดใช้งาน TLS1.2 : ไม่ได้ตั้งค่า
    ปิดใช้งาน TLS1.3 : ไม่ได้ตั้งค่า
    ปิดใช้งานการเย็บเล่ม OCSP : ไม่ได้ตั้งค่า
    ปิดใช้งานเวอร์ชัน TLS เดิม: ไม่ได้ตั้งค่า

ฉันไม่รู้ว่าทำไมสิ่งนี้จึงเกิดขึ้น ช่องทำเครื่องหมาย SNI ถูกทำเครื่องหมายไว้ ฉันพยายามโดยไม่ประสบความสำเร็จ:

  • การลบ การรวม และสร้างใหม่ผ่าน PowerShell
  • iisreset
  • รีบูตเซิร์ฟเวอร์

เบาะแสใด ๆ ? ขอบคุณ

125
0 + 0
ii
Lex Li avatar
vn flag
Lex Li
การแมปใบรับรอง HTTP API ของคุณดูเหมือนจะถูกต้องฉันจะใช้เครื่องมือเช่น Wireshark เพื่อจับแพ็กเก็ต TLS handshake เพื่อดูว่าชื่อโฮสต์คืออะไรกันแน่ ฟังดูแล้วเบราว์เซอร์อาจสับสนและส่งชื่อโฮสต์ผิด
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา