O uso do SNI no Windows Server 2012 R2 não está funcionando

10

insira a descrição da imagem aqui

Estou tentando fazer com que meus dois sites sejam executados com seus certificados separados em um Windows Server 2012 R2.

Isso não deveria ser possível?

No último site adicionado www.c1get.net, recebo o certificado do primeiro site e, portanto, um aviso.

Atualizar

SSL Certificate bindings:
-------------------------

    IP:port                      : 0.0.0.0:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : 100.88.158.59:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : owindemo.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : demo009.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.c1get.net:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled
iis windows-server-2012-r2 sni Poul K. Sørensen
fonte
De que saída você obtém netsh http show sslcert?
Shane Madden
adicionada a saída
Poul K. Sørensen
3
Gostaria de saber se a ligação não SNI nesse IP está fazendo a diferença por algum motivo .. Alguma alteração se essa ligação estiver desativada?
Shane Madden
Como você vê o que não é SNI
Poul K. Sørensen
Você quer dizer este: 100.88.158.59:443. Na verdade, eu não sei por que está lá. Eu estou passando por cima todos os sites IIS e há apenas ligações SNI na UI
Poul K. Sørensen

Respostas:

11

Respondendo a isso em nome de Shane Madden e s093294

Shane: Gostaria de saber se a ligação não SNI nesse IP está fazendo alguma diferença por algum motivo. Alguma alteração se essa ligação estiver desativada?

s093294: Ok. Esse foi o problema. Eu o removi com netsh http delete. Agora eu só preciso descobrir por que estava lá em primeiro lugar. É uma configuração automatizada que implanta uma máquina em serviços de nuvem azuis.

MichelZ
fonte
Teve o mesmo problema com a implantação do serviço de nuvem do Azure e a configuração do SNI. Eu sei que é uma pergunta muito antiga, mas alguma sorte em descobrir qual foi o motivo dos registros padrão netsh http sslcert?
Sergey Litvinov
Deixe-me mais claro: mesmo problema no Windows Server 2016 com IIS10.0. obviamente, é algum tipo de erro. Se adicionar um novo vínculo SSL com IP (mas sem nome de URL) e certificação, ele aparecerá: essa certificação será exibida em URL diferente quando você a abrir no navegador, não importa que você a exclua vincular o problema ainda existe. Você precisa verificá-lo por: netsh http show sslcertna linha de comando, se você descobrir que há uma ligação de endereço IP, mas não no IIS, é isso. E precisa excluí-lo manualmente na linha de comando: netsh http delete sslcert ipport=[bind IP address]:[bind port]. cansado ....
qakmak 11/07/19