Tham gia Đăng nhập
Điểm:1
dcol avatar Server

IIS cung cấp chứng chỉ sai bằng SNI hoặc CCS

lá cờ bd
dcol

Tôi có 3 trang web đều sử dụng cùng một IP trong IIS 10. Trước tiên, tôi thiết lập các liên kết https để sử dụng SNI với các địa chỉ IP 'tất cả được chỉ định' trên cổng 443 bằng chứng chỉ chính xác. Tất cả các certs được biết là tốt.Chỉ một trang web được cung cấp chứng chỉ SSL chính xác. Hai cái còn lại được phục vụ cùng một chứng chỉ như trang web làm việc. Vì vậy, sau đó tôi chuyển sang CCS. Đã tải tất cả các chứng chỉ của tôi vào cùng một thư mục với tên chính xác. Đã thay đổi các trang web từ SNI sang CCS. Vẫn chỉ có một trang web hoạt động. Đã thử làm sạch bộ nhớ cache của máy khách. Nhân tiện, tất cả điều này đã hoạt động tốt trong nhiều tháng cho đến cuối tuần vừa qua và tôi không thực hiện thay đổi nào đối với máy chủ. Có thể đã nhận được bản cập nhật Windows 2019 Bất kỳ đề xuất về những gì tôi có thể làm tiếp theo? Đây là kết quả netsh Trang web hoạt động có chứng nhận ký tự đại diện từ Sectigo. Hai cái còn lại là của Let's Encrypt. Các tên miền trên cả ba đều khác nhau.

IP: cổng : 0.0.0.0:8172
Băm chứng chỉ: d97778af0d232c0c2494eee481df37e5127425c9
ID ứng dụng : {00000000-0000-0000-0000-000000000000}
Tên cửa hàng chứng chỉ: MY
Xác minh thu hồi chứng chỉ ứng dụng khách: Đã bật
Chỉ xác minh việc thu hồi bằng cách sử dụng chứng chỉ ứng dụng khách được lưu trong bộ nhớ cache : Đã tắt
Kiểm tra sử dụng: Đã bật
Thu hồi Thời gian Làm mới : 0
Thời gian chờ truy xuất URL: 0
Mã định danh Ctl: (null)
Tên cửa hàng Ctl: (null)
Cách sử dụng DS Mapper: Đã tắt
Đàm phán chứng chỉ ứng dụng khách: Đã tắt
Từ chối kết nối: Đã tắt
Tắt HTTP2 : Chưa được đặt
Tắt QUIC : Không được đặt
Tắt TLS1.2 : Không được đặt
Tắt TLS1.3 : Không được đặt
Vô hiệu hóa OCSP Stapling : Chưa được đặt
Vô hiệu hóa các phiên bản TLS kế thừa : Chưa được đặt

IP: cổng : 192.168.20.34:443
Băm chứng chỉ: 211a5fb41e576e85c023f68452d77a91fc13b1eb
ID ứng dụng : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Tên cửa hàng chứng chỉ: Của tôi
Xác minh thu hồi chứng chỉ ứng dụng khách: Đã bật
Chỉ xác minh việc thu hồi bằng cách sử dụng chứng chỉ ứng dụng khách được lưu trong bộ nhớ cache : Đã tắt
Kiểm tra sử dụng: Đã bật
Thu hồi Thời gian Làm mới : 0
Thời gian chờ truy xuất URL: 0
Mã định danh Ctl: (null)
Tên cửa hàng Ctl: (null)
Cách sử dụng DS Mapper: Đã tắt
Đàm phán chứng chỉ ứng dụng khách: Đã tắt
Từ chối kết nối: Đã tắt
Tắt HTTP2 : Chưa được đặt
Tắt QUIC : Không được đặt
Tắt TLS1.2 : Không được đặt
Tắt TLS1.3 : Không được đặt
Vô hiệu hóa OCSP Stapling : Chưa được đặt
Vô hiệu hóa các phiên bản TLS kế thừa : Chưa được đặt

Cửa hàng chứng chỉ trung tâm : 443
Băm chứng chỉ: (null)
ID ứng dụng : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Tên cửa hàng chứng chỉ: (null)
Xác minh thu hồi chứng chỉ ứng dụng khách: Đã bật
Chỉ xác minh việc thu hồi bằng cách sử dụng chứng chỉ ứng dụng khách được lưu trong bộ nhớ cache : Đã tắt
Kiểm tra sử dụng: Đã bật
Thu hồi Thời gian Làm mới : 0
Thời gian chờ truy xuất URL: 0
Mã định danh Ctl: (null)
Tên cửa hàng Ctl: (null)
Cách sử dụng DS Mapper: Đã tắt
Đàm phán chứng chỉ ứng dụng khách: Đã tắt
Từ chối kết nối: Đã tắt
Tắt HTTP2 : Chưa được đặt
Tắt QUIC : Không được đặt
Tắt TLS1.2 : Không được đặt
Tắt TLS1.3 : Không được đặt
Vô hiệu hóa OCSP Stapling : Chưa được đặt
Vô hiệu hóa các phiên bản TLS kế thừa : Chưa được đặt
155
0 + 0
Lex Li avatar
lá cờ vn
Lex Li
Bạn đã xác minh cài đặt Windows HTTP API của mình qua `netsh` chưa?
0
Hồi đáp
dcol avatar
lá cờ bd
dcol
Có, tất cả đều trông ổn khi sử dụng 'netsh http show sslcert'
0
Hồi đáp
Lex Li avatar
lá cờ vn
Lex Li
Sau đó, điều gì sẽ xảy ra nếu bạn sửa đổi tệp `hosts` trên máy chủ đó (để mô phỏng cục bộ ba miền) và kiểm tra ba trang web bằng trình duyệt trên chính máy chủ đó? Điều đó có gây ra lỗi tương tự không?
0
Hồi đáp
dcol avatar
lá cờ bd
dcol
Đã thử điều đó. Vì vậy, những gì tôi đã làm là chuyển các trang web đó sang một IP mới trên cùng một máy chủ. Bây giờ họ làm việc. Tôi không thể sử dụng cùng một IP cho cả ba trang ngay cả với SNI hoặc CCS
0
Hồi đáp
Michael Hampton avatar
lá cờ cz
Michael Hampton
Điều đó đánh bại toàn bộ mục đích của SNI, đó là cho phép nhiều trang web HTTPS sử dụng cùng một IP. Vẫn còn một vấn đề ở đây. Tuy nhiên, tôi là quản trị viên Linux, vì vậy tôi không thể cho bạn biết chính xác nó là gì. Ai đó nên có thể làm như vậy, mặc dù.
0
Hồi đáp
Lex Li avatar
lá cờ vn
Lex Li
@dcol "Đã thử rồi" vậy kết quả là gì? Dù sao đi nữa, vì việc thay đổi địa chỉ IP trong các liên kết sẽ giải quyết được sự cố, tôi đoán bạn đã gặp sự cố trong cài đặt DNS. Nhưng làm thế nào vấn đề đó xảy ra vẫn chưa được biết. Nếu tôi là bạn, lẽ ra tôi nên chụp các gói bắt tay TLS và phân tích thêm để tìm hiểu nguyên nhân (các gói bắt tay chứa đủ thông tin về cách SNI/CCS sẽ phản hồi). Nhưng bây giờ ít nhất bạn đã tìm thấy một giải pháp.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.