Tham gia Đăng nhập
Điểm:1
Jonathan Wood avatar Server

Chứng chỉ SSL dường như gây nhầm lẫn cho các trang web khác nhau

lá cờ ug
Jonathan Wood

VPS của tôi chứa khoảng hơn chục trang web, với một số chứng chỉ SSL bao gồm các trang sau.

  • *.railtrax.com
  • *.insiderarticles.com

Hiện tại, tất cả *.railtrax.com các trang web đang hoạt động tốt. Nhưng *.insiderarticles.com trang web (tôi chỉ có một) đang báo lỗi cho tôi trong trình duyệt (lưu ý đoạn cuối cùng).

Kết nối của bạn không riêng tư

Những kẻ tấn công có thể đang cố lấy cắp thông tin của bạn từ insiderarticles.com (ví dụ: mật khẩu, tin nhắn hoặc thẻ tín dụng).

MẠNG::ERR_CERT_COMMON_NAME_INVALID

Máy chủ này không thể chứng minh rằng đó là insiderarticles.com; chứng chỉ bảo mật của nó là từ *.railtrax.com. Điều này có thể do cấu hình sai hoặc kẻ tấn công chặn kết nối của bạn.

Như bạn có thể thấy, chứng chỉ cho nội bộ.com cho biết nó đã được cấp cho *.railtrax.com.

Giấy chứng nhận Insiderarticles.com

chứng chỉ insiderarticles.com

Nhưng tôi đã chọn đúng chứng chỉ.

Insiderarticles.com Hộp thoại Chỉnh sửa Ràng buộc

insiderarticles.com Hộp thoại Chỉnh sửa Ràng buộc

Nếu tôi sử dụng Jexus để chạy chẩn đoán ràng buộc, tôi sẽ gặp các lỗi sau:

Ràng buộc: http 74.208.136.116:80:insiderarticles.com
Đã tìm thấy phạm vi cổng dành riêng TCP xung đột. Vui lòng chạy "netsh int ipv4 hiển thị giao thức loại trừportrange=tcp" tại dấu nhắc lệnh để khắc phục sự cố.

Ràng buộc: http 74.208.136.116:80:www.insiderarticles.com
Đã tìm thấy phạm vi cổng dành riêng TCP xung đột. Vui lòng chạy "netsh int ipv4 hiển thị giao thức loại trừportrange=tcp" tại dấu nhắc lệnh để khắc phục sự cố.

Ràng buộc: https 74.208.136.116:443:insiderarticles.com
Đã tìm thấy phạm vi cổng dành riêng TCP xung đột. Vui lòng chạy "netsh int ipv4 hiển thị giao thức loại trừportrange=tcp" tại dấu nhắc lệnh để khắc phục sự cố.

Ràng buộc: https 74.208.136.116:443:www.insiderarticles.com
Đã tìm thấy phạm vi cổng dành riêng TCP xung đột.Vui lòng chạy "netsh int ipv4 hiển thị giao thức loại trừportrange=tcp" tại dấu nhắc lệnh để khắc phục sự cố.

Và nếu tôi chạy lệnh được đề xuất, tôi sẽ nhận được thông tin sau.

nhập mô tả hình ảnh ở đây

Nhưng điều này không hữu ích với tôi.

Mọi thứ khác về chứng chỉ có vẻ hợp lệ. Tôi đã cài đặt chứng chỉ cho *.insiderarticles.com và nó đã hoạt động tốt. Sau khi tôi cài đặt chứng chỉ cho *.railtrax.com, rất có thể đó là lúc insiderarticles.com ngừng hoạt động.

Điều này có thể có bất cứ điều gì để làm với Yêu cầu chỉ định tên máy chủ hộp kiểm? Hộp kiểm này đã được chọn cho nội bộ.com và bỏ chọn cho tất cả *.railtrax.com các trang web. Tôi đã thử kiểm tra tùy chọn này cho tất cả *.railtrax.com các trang web, nhưng nó dường như không tạo ra bất kỳ sự khác biệt nào.

Bất cứ ai có thể đề nghị các bước tiếp theo để khắc phục sự cố này?

251
0 + 0
lá cờ de
Dallas
Nó cho bạn biết tại sao tên không hợp lệ. URL là *.insiderarticles.com, nhưng chứng chỉ không khớp với URL đó và nói rằng nó dành cho *.railtrax.com . Có vẻ như chứng chỉ sai (bài viết nội bộ) được liên kết với trang web sai (railtrax) và bạn cần xâu chuỗi chứng chỉ railtrax (và trung gian) với trang web railtrax. Hoặc là hoặc cấp lại chứng chỉ với cả hai giá trị trong Tên thay thế chủ đề, nếu chúng có liên quan và xâu chuỗi với cả hai.
0
Hồi đáp
Jonathan Wood avatar
lá cờ ug
Jonathan Wood
@Dallas: Trong hộp thoại chỉnh sửa ràng buộc, tôi đang chọn đúng chứng chỉ từ danh sách thả xuống. Làm thế nào khác có thể liên kết chứng chỉ sai với trang web?
0
Hồi đáp
Lex Li avatar
lá cờ vn
Lex Li
Bất kỳ thay đổi nào bạn đã thực hiện trong IIS Manager đều được lưu trong Windows HTTP API, https://docs.jexusmanager.com/tutorials/https-binding.html#background Vì vậy, nếu có gì đó không đúng, hãy làm theo các nguyên tắc và kiểm tra xem có gì sai không.
0
Hồi đáp
Jonathan Wood avatar
lá cờ ug
Jonathan Wood
@LexLi: Tôi đã cài đặt công cụ đó Nhưng tôi thực sự không biết nó giúp tôi như thế nào.Hy vọng ai đó biết kiến ​​thức cơ bản về cấu hình chứng chỉ SSL có thể trả lời một số câu hỏi.
0
Hồi đáp
Lex Li avatar
lá cờ vn
Lex Li
Tôi không yêu cầu bạn chạy chẩn đoán liên kết, vì điều đó không liên quan, nhưng chỉ cho bạn tìm hiểu cách Windows HTTP API khớp các yêu cầu HTTPS đến với chứng chỉ tương ứng của chúng. Câu trả lời bạn đã chấp nhận bên dưới chỉ đơn giản là nói như vậy mặc dù không thể báo kết nối với API HTTP.
0
Hồi đáp
Jonathan Wood avatar
lá cờ ug
Jonathan Wood
@LexLi: Không, bạn không bảo tôi chạy chẩn đoán ràng buộc. Bạn đã giới thiệu cho tôi một hướng dẫn, có vẻ như bao gồm rất nhiều chi tiết và bảo tôi làm theo hướng dẫn đó. Rõ ràng là tôi đang tìm kiếm một người có thể giúp thu hẹp nó lại. Đăng một liên kết đã không làm điều đó.
0
Hồi đáp
Điểm:1
Jevgenij Martynenko avatar Server
lá cờ us
Jevgenij Martynenko

Ban đầu, bạn chỉ có thể sử dụng một chứng chỉ duy nhất cho một cặp IP:port là IIS. Điều này là do tiêu đề máy chủ không hiển thị trong quá trình bắt tay SSL khi IIS chọn chứng chỉ sẽ được sử dụng.

Là một giải pháp cho hạn chế này SNI đã được giới thiệu. Nó có sẵn trong IIS 8 trở lên và được hỗ trợ bởi các trình duyệt hiện đại (danh sách ở đây) . Bạn nên bật SNI cho tất cả các trang web, nhưng bạn có thể muốn tắt tính năng này đối với trang web sẽ được sử dụng bởi các trình duyệt cũ không hỗ trợ SNI. Các trình duyệt cũ đó vẫn sẽ gặp lỗi không khớp tên chứng chỉ SSL.

Vì vậy, lựa chọn của bạn là một trong những điều sau đây:

  • nếu hỗ trợ trình duyệt cũ không quan trọng, hãy bật SNI cho tất cả các trang web, ngoại trừ trang bạn chọn làm mặc định cho các trình duyệt cũ
  • thêm một địa chỉ IP công cộng nữa vào máy chủ của bạn. Liên kết từng chứng chỉ với IP: cặp cổng khác nhau
  • mua một chứng chỉ duy nhất có thể bao gồm cả hai miền ký tự đại diện. Nó được gọi là Chứng chỉ SSL ký tự đại diện đa miền hoặc Chứng chỉ SAN
0 + 0
Jonathan Wood avatar
lá cờ ug
Jonathan Wood
Cảm ơn, nhưng cả hai chứng chỉ đều là chứng chỉ ký tự đại diện (bạn có thể thấy dấu hoa thị trong hộp thoại chứng chỉ). Tôi có một chứng chỉ khác, không phải ký tự đại diện trên trang web. Nhưng điều đó dường như đang làm việc tốt.
0
Hồi đáp
Jevgenij Martynenko avatar
lá cờ us
Jevgenij Martynenko
Tôi đã cập nhật câu trả lời của mình với lời giải thích chi tiết hơn
0
Hồi đáp
Jonathan Wood avatar
lá cờ ug
Jonathan Wood
Cảm ơn. Có phải SNI không đóng bất kỳ vai trò nào trong tất cả những điều này sau đó?
0
Hồi đáp
Jevgenij Martynenko avatar
lá cờ us
Jevgenij Martynenko
Xin lỗi, tôi hoàn toàn bỏ lỡ phần này. Đã cập nhật câu trả lời của tôi
0
Hồi đáp
Điểm:1
Jonathan Wood avatar Server
lá cờ ug
Jonathan Wood

bây giờ tôi đang nghĩ rằng Yêu cầu chỉ định tên máy chủ là vấn đề.

Tôi cho biết tôi đã thử kiểm tra tùy chọn này cho tất cả railtrax.com các trang web và điều này không có sự khác biệt. Nhìn lại ngày hôm nay, có vẻ như tôi đã bỏ lỡ một. Sau khi kiểm tra cái đó, bây giờ nó có vẻ đang hoạt động.

Có thể là một cái gì đó khác đang chơi ở đây. Nhưng cho đến nay có vẻ như đây là câu trả lời. Tôi hơi ngạc nhiên khi nhiều người ở đây dường như không quen thuộc với điều này.

0 + 0
Điểm:0
avatar Server
lá cờ ms
MultiValue

Tôi gặp vấn đề tương tự. Nhưng trong trường hợp của tôi, một trong các trang web chỉ có liên kết với cổng 80. Tôi phải thêm liên kết HTTPS rồi chọn SNI.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.