我有一個不安全的域,並且想要創建一個安全的子域。在運行Windows Server 2008和IIS 7的相同IP地址上。IIS 7和SSL通配符證書
因此,我爲* .mydomain.co.uk購買了通配符SSL證書,並在服務器上安裝了它。它正確顯示在服務器證書下。
我已經爲測試目的設置了帶有HTTP綁定的子域,並且一切正常 - 所以它不是IIS的問題。然後,我在正常443端口上爲子域添加HTTPS綁定,並且因爲我已經命名了證書* .mydomain.com,所以在UI中爲我啓用了主機名框。所以我設置了HTTPS綁定,刪除HTTP綁定,重新啓動網站和IIS。當我瀏覽到www.mydomain.com時可以正常工作 - 但是當我瀏覽到https://subdomain.mydomain.com時,我收到瀏覽器故障,指出找不到服務器。
任何幫助將不勝感激。
好吧,算了一下 - 正常情況下,它不僅僅是一個問題。
首先是一個防火牆的問題 - 服務器在Amazon EC2上運行和安全組成立了以阻止HTTPS通信端口443
其次起來確實是DNS。儘管在使用HTTP綁定時子域名可以不帶CNAME記錄,但使用HTTPS時似乎需要顯式CNAME記錄。不要問我爲什麼。
有問題的子域用於IFrame Facebook應用程序。它在IE和Chrome中表現良好,但Firefox引發了ssl_error_renegotiation_not_allowed錯誤。這是由於IIS中的SSL設置 - 它們需要設置爲需要SSL(未勾選)或打勾,但然後客戶端證書忽略
Phew - 很高興它現在正在運行。
檢查您的DNS設置,並確保您有subdomain.mydomain.com的A或CNAME記錄。
只要您的網絡服務器設置爲處理特定的域名,並不意味着主機名/域名實際存在 - 也必須爲其配置DNS系統。
我能夠用A記錄而不是CNAME來做到這一點。我沒有要求SSL打勾。我改用URL重寫。
<rule name="redirect to https" stopProcessing="true"> <match url="http://(.*)"/> <conditions> <add input="{HTTPS}" pattern="^OFF$"/> </conditions> <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent"/> </rule>
您還需要使用通配符證書在所有安全子域上設置SSL主機標題。
appcmd set site /site.name:"<IISSiteName>" /+bindings.[protocol='https',bindingInformation='*:443:<hostHeaderValue>']
它可以推測這一個痛苦,但有一件事是尋找
但要確保所使用的子域的應用程序池的身份有權限到C:\ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys文件夾。
嗨@Dimestore,你認爲「用於子域的應用程序池的標識」是什麼意思?你能給我一個確切的想法,該怎麼做? – Krunal 2012-05-14 13:04:04
你的意思是說這個嗎? http://waissguy.wordpress.com/2010/08/30/granting-permissions-to-the-applicationpoolidentity/ – Krunal 2012-05-14 13:19:06
不知道遲到的答案是否會幫助任何人,我的意思是用於該網站的應用程序池有一個Windows身份,該身份必須具有MachineKeys文件夾的文件讀取權限。通常,設置爲用於應用程序池的標識未設置爲具有對該文件夾(或站點外的任何文件夾)的讀取訪問權限 – 2012-10-10 18:41:42
同意。如果您沒有任何A記錄,或者就此而言,您的DNS系統中的任何條目都不能訪問您的子域網站。 IIS設置只是這個過程的一半。 – Encryption 2012-03-13 17:11:41
但DNS工作。如果使用http綁定而不是使用https綁定來設置子域,則它可以正常工作。瀏覽器可以得到它等。我是否需要做任何不同的事情,因爲它是一個https? – Swomble 2012-03-14 09:07:51
應該添加DNS正在從外部工作到服務器。即通常互聯網連接的PC如果使用HTTP綁定進行設置,則可以瀏覽到子域。將其更改爲HTTPS綁定時會導致事件中斷。 – Swomble 2012-03-14 11:09:37