iis ssl https subdomain

MĂșltiples subdominios con SSL bajo IIS



https subdomain (5)

"Supongo que el problema radica en el hecho de que no puedo especificar un valor de encabezado de host para SSL"

Lo adivinaste. Necesitará dos direcciones IP.

Actualmente necesito tener 2 subdominios bajo el mismo dominio bajo SSL.
Ambos subdominios (www y afiliados) están en el mismo servidor IIS, bajo la misma IP, y cada uno ha especificado un valor de encabezado de host (www.mydomain.com y affiliate.mydomain.com)

El primer subdominio (www), que es el predeterminado, funciona muy bien, con y sin SSL.
El segundo subdominio funciona perfecto bajo HTTP.

El problema es que acabo de comprar e instalar el certificado SSL para el subdominio afiliado, y cuando visita https://affiliate.mydomain.com , lo redirigen a http://www.mydomain.com

Supongo que el problema radica en el hecho de que no puedo especificar un valor de encabezado de host para SSL. (el cuadro de diálogo donde normalmente configuro el valor del encabezado de host no tiene esa opción en la parte inferior, dedicada a SSL).

¿Qué puedo hacer sobre esto? ¿Debo tener cada subdominio en una IP separada? ¿No es esto posible en absoluto?

¡Gracias! Daniel


El problema es fundamental para la forma en que funciona HTTPS.

El alojamiento virtual se basa en el encabezado "Host" introducido en HTTP / 1.1. Eso es parte del protocolo HTTP, pero desde el punto de vista del protocolo SSL, la capa HTTP es "datos de aplicación", y no se puede transmitir hasta que se haya completado el protocolo de enlace SSL.

Sin embargo, el certificado del servidor se presenta durante el handshake. El servidor HTTP aún no ha visto el encabezado "Host", por lo que no sabría qué certificado enviar. Usar una dirección IP distinta funciona, porque eso es visible en la capa IP debajo de SSL.

Actualización: hay una nueva extensión TLS que permite a los clientes indicar el servidor que pretenden usar durante el protocolo de enlace. Vea la respuesta de dlongley para más información.


En la situación particular en la que está donde necesita 2 subdominios del mismo dominio, un certificado WildCard tiene que funcionar ... Uso un certificado de comodines desde hace 3 años para docenas de sitios, y ningún cliente ha reportado errores

Si tiene algo que indica que el certificado es para "www", entonces su certificado no es un verdadero certificado comodín, o está experimentando algún tipo de problemas de almacenamiento en caché del navegador o está utilizando 2 copias del certificado y usted actualiza solo uno de ellos. o se te olvidó reiniciar el servidor, o ... No lo sé :)


No estoy seguro de qué servidor web está ejecutando, pero en IIS 6 en Windows Server 2003, puede usar los encabezados de host para los sitios SSL, lo que les permite estar en la misma dirección IP.

http://microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/596b9108-b1a7-494d-885d-f8941b07554c.mspx?mfr=true

EDITAR: Esto solo funcionará si el certificado es un certificado comodín. De lo contrario, el subdominio "afiliado" intentará utilizar el mismo certificado que el subdominio "www", y los visitantes recibirán una advertencia.


Probablemente esto no te ayude, pero espero que sea informativo.

Hay una extensión del protocolo TLS que algunos clientes TLS utilizan llamada Indicación de nombre de servidor (SNI). Esta extensión permite a los clientes TLS especificar el nombre de host del servidor con el que intentan ponerse en contacto. Entonces, cuando el cliente se conecta y envía un mensaje de ClientHello dentro del protocolo TLS, el servidor puede decidir con qué certificado responder. Esto hace que los servidores virtuales SSL / TLS sean posibles en una única IP.

OpenSSL proporciona funciones de devolución de llamada para permitirle leer el nombre de host que el cliente envió y manejar la obtención del certificado apropiado, pero desafortunadamente no tengo idea si esto es posible con IIS.