Как подключить несколько сертификатов на 1 сайт iis 7.5?
Здравствуйте, уважаемое сообщество!
Прошу прояснить момент: возможно ли добавить bind's для сайта iis 7.5 несколько сертификатов?
В данный момент к сайту привязан основной сертификат:
бинд выглядит след. образом:
https, внешний ip, 443, mywebsite.domain + ssl1
для доступа по внутреннему ip были подключение поддомены subd1.mywebsite.local; subd2.mywebsite.localи т.д.
и выпущены и добавлены в системе одноименные сертификаты к ним.
Теперь, когда пытаюсь прописать бинды для внутренних ссылок http работает. Но при подключении сертификата берется первый по списку биндов для всех ссылок.
Т.е. ситуация 1:
бинд 1: https, внешний ip, 443, mywebsite.domain + ssl1
бинд 2: https, внутренний ip, 54443, subd1.mywebsite.local + ssl:"subd1.mywebsite.local"
бинд 3: https, внутренний ip, 54444, subd2.mywebsite.local + ssl:"subd2.mywebsite.local"
при таком раскладе на все линки применяется сертификат ssl1 соответственно основная ссылка открывается отлично и проходит проверку подлинности браузерами а вторые ссылки определяют этот ssl1 и ругаются, что проверку пройти не могут. Firefox err: SSL_ERROR_BAD_CERT_DOMAIN
Ситуация 2:
бинд 1: https, внутренний ip, 54443, subd1.mywebsite.local + ssl:"subd1.mywebsite.local"
бинд 2: https, внутренний ip, 54444, subd2.mywebsite.local + ssl:"subd2.mywebsite.local"
бинд 3: https, внешний ip, 443, mywebsite.domain + ssl1
В таком случае ко всем ссылкам применяется ssl:"subd1.mywebsite.local" но Firefox err: SSL_ERROR_BAD_CERT_DOMAIN остается. И mywebsite.domain становится вовсе недоступен.
Возможно кто-то сталкивался, или есть мысли куда смотреть, возможно вообще пытаюсь сделать то что iis не позволяет явно, но подтверждения этому не могу найти.
Благодарю за внимание и возможную помощь.
UPD: Пока нет возможности проверить, но есть уверенность в след. фактах:
для первого бинда не было указано имя общего домена и стояла маска "*" и привязан сертификат. Так исходя из этого шаблона (он отрабатывает в приоритете) система думает, что нужно применить сертификат ко всем доменным сертификатам несмотря на то, что ниже указаны бинды других сертификатов уже на другие домены.
Нельзя. Для того, чтобы сетификат был валидным на несколько имен - нужно заказывать SAN-сертификат. LE вроде как умеет (не проверял), а вообще они довольно дорогие. Ну а самодельный понятное дело можно вообще каким угодно сделать.
Можно только при условии, что разные сертификаты будут привязаны на разные порты, то есть на один порт можно только один сертификат.
Можно только при условии, что разные сертификаты будут привязаны на разные порты, то есть на один порт можно только один сертификат.
Возможно что-то не так понял, но порты указываю для каждой ссылки разные:
бинд 1: https, внутренний ip, 54443, subd1.mywebsite.local + ssl:"subd1.mywebsite.local"
бинд 2: https, внутренний ip, 54444, subd2.mywebsite.local + ssl:"subd2.mywebsite.local"
и эти ссылки планируется использовать только внутри сети предприятия.
для каждой ссылочки выпущен собственный самоподписанный сертификат .pfx средствами openssl.
Странная штука, с биндами, если на одном сайте несколько биндов с разными сертификатами (единый ip: уникальный порт), то всё равно ко всем ссылкам применяется какой-то один сертификат (в большинстве случаев основной) т.е.:
Если для бинда 1 указать: https ; * ; 443 ; * ; ssl0:'mywebsite.domain'
для бинда 2 указать: https ; * ; 54443 ; * ; ssl1:'subd1.mywebsite.local'
то при переходе к https://subd1.mywebsite.local подхватывается сертификат из первого бинда =( переходить пробовал по прямой ссылке и с указанием порта.
Можно только при условии, что разные сертификаты будут привязаны на разные порты, то есть на один порт можно только один сертификат.
Оказывается все так, только чтобы в рамках одного сайта применялись несколько сертификатов нужно строго указывать привязки по домену+порту, если будет обобщенная маска домена * сертификат будет браться с нее. Много где вычитывал, что нужны привязки по портам, но не понимал масштаб строгости в биндах =) Спасибо, Вам, за помощь и внимание!
Простой
Простой
Простой
