我在 IIS 8.5 上有一组站点都使用通配符证书 (*.myhost.com
),比方说:
api.myhost.com
data.myhost.com
...
现在我想给这个站点添加一个新名称,所以我得到一个新证书 (*.newhost.com
) 并在 IIS 上添加新站点:
api.newhost.com
data.newhost.com
...
并在 IIS 中为这个新站点启用了 Require Server Name Indication
,但我的问题是 IIS 一直为我的新站点发送旧证书,我做错了什么以及为什么 IIS 从不发送 SNI 扩展在它的 Server Hello 响应中?
最佳答案
所有使用 ssl 的站点都必须启用 SNI。 如果只有一个站点具有未启用 SNI 的通配符证书,这将导致所有其他证书无法与 SNI 一起使用。 查明站点是否未启用 SNI 的最简单方法是在文件“ApplicationHost.config”(位于 windir/system32/inetsrv/config)中查找。在 sites-section 中列出了所有绑定(bind),并且 sslFlags-Attributes 应该为“1”。任何站点都不能具有以下属性:sslFlags="0"。识别带有“0”标志的站点后,您可以在 IIS 管理控制台中为这些站点激活 SNI 标志。
关于ssl - IIS 8.5 上带有通配符证书的 SNI,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42671905/