IIS 下使用 SSL 的多个子域

Question

Closed. This question is off-topic. It is not currently accepting answers.

---

想要改进此问题吗？更新问题，使其关于- Stack Overflow 的主题。

11 年前已关闭。

Answer 1

“我猜问题出在
事实上我无法指定主机
SSL 标头值”

您猜对了。您将需要两个 IP 地址。

Answer 2

这个问题是 HTTPS 工作方式的根本问题。

虚拟主机依赖于 HTTP/1.1 中引入的“Host”标头。 这是HTTP协议的一部分，但从SSL协议的角度来看，HTTP层是“应用程序数据”，在SSL握手完成之前无法传输。

但是，服务器证书是在握手期间提供的。 HTTP 服务器还没有看到“Host”标头，因此它不知道要发送哪个证书。 使用不同的 IP 地址是可行的，因为它在 SSL 下面的 IP 层上是可见的。

---

更新：有一个新的 TLS 扩展，允许客户端在握手期间指示他们打算使用的服务器。 请参阅 dlongley 的回答了解更多信息。

Answer 3

我不确定您正在运行什么 Web 服务器，但在 Windows Server 2003 上的 IIS 6 中，您可以使用 SSL 站点的主机标头，从而允许它们位于同一 IP 地址上。

http: // www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/596b9108-b1a7-494d-885d-f8941b07554c.mspx?mfr=true

编辑：这仅在证书是通配符证书时才有效。 否则，子域“affiliate”将尝试使用与子域“www”相同的证书，并且访问者将收到警告。

Answer 4

这可能不会对您有帮助，但希望它能提供有用的信息。

某些 TLS 客户端使用 TLS 协议的扩展，称为服务器名称指示 (SNI)。 此扩展允许 TLS 客户端指定它们尝试联系的服务器的主机名。 因此，当客户端连接并在 TLS 协议内发送 ClientHello 消息时，服务器可以决定使用哪个证书进行响应。 这使得虚拟 SSL/TLS 服务器可以在单个 IP 上运行。

OpenSSL 提供回调函数，允许您读取客户端发送的主机名并处理获取适当的证书，但不幸的是，我不知道这对于 IIS 是否可行。

Answer 5

在特定情况下，您需要同一域的 2 个子域，通配符证书必须才能工作...我从 3 年来为数十个网站使用通配符证书，并且没有客户报告错误

如果您有一些信息表明该证书适用于“www”，那么您的证书不是真正的通配符证书，或者您遇到了某种浏览器缓存问题，或者您正在使用该证书的 2 个副本，并且您只更新了其中一个，或者你忘记重新启动服务器，或者..我不知道:)