IIS 8.5、中央证书存储库、通配符SSL和没有主机名的网站

Question

我在使用通配符证书的IIS8中央证书存储库时遇到了问题。我有一个web服务器场，它被配置为使用CCS。我有一张"*.delaneywilson.com“的外卡证书。我为通配符证书创建了一个pfx文件，命名为"_.delaneywilson.com“(按照微软和网络上其他文章的指示)，然后将其放到我的共享SSL目录中。证书在IIS中显示，没有任何问题。

我为www.delaneywilson.com和delaneywilson.com创建了绑定，它们都使用端口443，设置为“所有未分配的”、“需要服务器名称标识”和“使用集中式证书存储”。与www的绑定工作良好，但没有主机名的绑定不起作用。

实际上，只要有主机名，我应用的任何绑定都可以工作：

https://www.delaneywilson.com -> Works
https://anything.delaneywilson.com -> Works
https://something.delaneywilson.com -> Works
https://delaneywilson.com -> Does not work

我所读到的一切都让我相信使用CCS在IIS8.x中支持通配符证书，但是我不能让域名“仅仅”工作。

它表示，对于UCC证书，您实际上必须复制证书，并将其放到共享目录中，用于UCC证书支持的每个域。我尝试了类似于通配符证书的东西，但它没有起作用。事实上，证书根本没有出现在CCS列表中。(这是预期的，因为证书是*.dealneywilson.com而不是delaneywilson.com)。我可以通过强制将负载平衡从delaneywilson.com重定向到www.delaneywilson.com来解决这个问题，但是我认为如果它能正常工作的话会更好。

现在，我回到了在每个服务器上安装证书，然后将绑定配置为使用SNI和本地证书存储。这似乎没有任何问题。对于一个由5台服务器和几个网站组成的小农场来说，这不是什么大不了的事，但我需要使用CCS来容纳6500个域名的24台服务器的网络场，而且它的配置太多了。

有人能确认这是IIS8.5CCS中的错误吗？

Answer 1

备选方案一

为"delaneywilson.com“购买另一个SSL证书

备选案文二

在"delaneywilson.com“证书的SAN字段中添加DNS名称"*.delaneywilson.com”

Answer 2

通配符证书保护域的安全，默认情况下将其作为SAN添加到证书中。因此，如果您使用*.abc.com，abc.com将自动作为SAN添加到证书中。如果没有添加，您可以与CA联系，并要求他们重新颁发证书，并将域添加到证书中。

是的，必须再次产生企业社会责任才能进行重新发行。

Answer 3

在获取通配符证书时，有特定的CA，其中包括主题替换名称(SAN)下的主域(没有www)。

只需按照下面的步骤检查是否将delaneywilson.com添加为SAN

转到IIS，双击delaneywilson.com >>证书，单击details选项卡>>滚动一点，然后单击Subject Alternative Name。

我正在张贴一张图片供你参考

​