是什么改变了请求的URL？

Question

当我尝试从我的客户端应用程序下载位于我的服务器上的文件时，我不一致地收到错误。错误是请求URL与证书CN不匹配。在错误中，请求URL是服务器IP，但证书上的CN是域名，并且证书中没有该IP的SAN条目，所以我猜这就是导致错误的原因。该证书有两个SAN条目，即mydomain.com和www.mydomain.com。

我的客户端应用程序使用域名进行请求，所以我的问题是:在哪里将域名更改为IP？

我检查了我的IIS服务器，在我的webapp中没有重写规则(也没有重定向)；我确实有一个绑定到我的IP地址，这会是问题所在吗？

Answer 1

我不知道正确证书的具体内容、服务器的设置、多个未指定系统和应用程序的行为以及您认为正确的URL。但我可以想象出以下问题：

根据可能使用或不使用certificate.

• Depending的应用程序，这可能会导致在应用程序上提供不同的
• ，它可能会查看CN进行验证，也可能不会。该标准指出，仅当没有SAN (主题替代名称) DNS记录时才应咨询CN，但是各种应用甚至存在SAN DNS记录时才咨询CN，而其他应用即使没有SAN DNS记录而仅存在SAN IP记录时也不咨询CN。一些人坚持不看CN，即使根本没有SAN记录。
• 如果URL不是每个域，而是一个IP地址，那么一些应用程序会正确地检查SAN IP记录，一些应用程序检查CN，一些应用程序忽略任何SAN IP记录，但错误地期望IP地址包含在SAN

记录中。

• 除了这些不同的应用程序实际上可能使用略有不同的URL，即一些example.com，一些www.example.com，一些以HTTP和一些HTTPS开头。这可能会导致不同的证书或重定向，具体取决于服务器设置。

因此，为了减少问题，请确保您只有一个证书，无论是否使用SNI，也不管使用哪个可能的URL，都只提供一个证书。还要确保证书实际上包含您期望作为SAN DNS记录的每个域名。如果您希望通过IP地址而不是URL中的域访问站点，请确保您拥有SAN IP和SAN DNS记录。此外，任何重定向都应该指向完全相同的域名或IP地址。

一旦这样做了，问题仍然存在，尝试使用Stackoverflow上的新帖子，在那里您添加了关于站点设置、证书内容和确切的客户端问题的足够详细信息，以便其他人可以重现这些问题，他们可以帮助您调试剩余的问题。