文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >SSL证书显然混淆了不同的网站

SSL证书显然混淆了不同的网站
EN

Server Fault用户
提问于 2021-11-12 19:30:41
回答 3查看 2K关注 0票数 1

我的VPS包含十几个网站,其中包括以下几个SSL证书。

  • *.railtrax.com
  • *.insiderarticles.com

目前,所有的*.railtrax.com网站运行良好。但是*.insiderarticles.com网站(我只有一个)在浏览器上给了我一个错误(注意最后一段)。

您的连接不是私有的,攻击者可能试图从insiderarticles.com窃取您的信息(例如密码、消息或信用卡)。NET::ERR_CERT_COMMON_NAME_INVALID此服务器无法证明它是insiderarticles.com;它的安全证书来自*.railtrax.com。这可能是由错误配置或攻击者拦截您的连接造成的。

如您所见,insiderarticles.com的证书说它是颁发给*.railtrax.com的。

Insiderarticles.com证书

但是我选择了正确的证书。

Insiderarticles.com编辑绑定对话框

如果我使用Jexus运行绑定诊断,我会得到以下错误:

代码语言:javascript
复制
BINDING: http 74.208.136.116:80:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: http 74.208.136.116:80:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: https 74.208.136.116:443:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: https 74.208.136.116:443:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

如果我运行建议的命令,我会得到以下信息。

但这对我没什么帮助。

证书的其他所有内容似乎都是有效的。我为*.insiderarticles.com安装了证书,它运行良好。在我为*.railtrax.com安装证书之后,这很可能是insiderarticles.com停止工作的时候。

这是否与“要求服务器名称指示”复选框有关?此复选框为insiderarticles.com选中,而对于所有*.railtrax.com网站则未选中。我试着为所有的*.railtrax.com网站检查这个选项,但是看起来并没有什么不同。

有人能推荐下一步解决这个问题的方法吗?

ssl
iis
windows-server-2012-r2
iis-8
EN

回答 3

Server Fault用户

回答已采纳

发布于 2021-11-14 07:07:06

最初,您只能对IP使用单个证书:端口对是IIS。这是因为当IIS选择要使用的证书时,SSL握手时主机头不可见。

作为解决这一限制的一种方法,引入了SNI。它可在IIS 8及更高版本中使用,并得到现代浏览器(名单在这里)的支持。您应该为所有网站启用SNI,但是您可能希望对不支持SNI的遗留浏览器使用的网站关闭它。那些遗留浏览器仍然会得到SSL证书名称不匹配错误。

因此,您的选择如下:

  • 如果旧版浏览器支持不重要,则为所有网站启用SNI,但您选择的旧版浏览器默认支持除外。
  • 向服务器再添加一个公共IP地址。将每个证书绑定到不同的IP:端口对
  • 购买一个可以覆盖两个通配符域的证书。它被称为多域通配符SSL证书或SAN证书。
票数 1
EN

Server Fault用户

发布于 2021-11-14 17:54:54

我现在认为需要服务器名称指示才是问题所在。

我说我试着检查我所有的railtrax.com网站的这个选项,这并没有什么不同。今天再看一次,看来我错过了一次。在检查过这一项后,现在看来是可行的。

可能还有别的事情在起作用。但到目前为止,这似乎是答案。我有点惊讶这里更多的人不熟悉这件事。

票数 1
EN

Server Fault用户

发布于 2022-04-25 12:09:59

我也有过同样的问题。但在我的例子中,其中一个站点只绑定到端口80。我必须添加一个HTTPS绑定,然后选择SNI。

票数 0
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/1083421

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档