IIS6에서 SSL을 사용하는 여러 사이트


4

약간 어리석게 들릴지 모르지만 서버 관리자보다 개발자가 많으며 IIS에 관해서는 엄청나게 골칫거리입니다. 그러니 여기 나와 함께 참아주세요.

현재 IIS6를 실행하는 전용 2K3 상자가있는 클라이언트가 있습니다. 그들은이 상자에 하나의 사이트를 호스팅하고 있으며 그 도메인으로 두 도메인 (도메인 1.com, domain2.com)을 확인하고 있습니다. 사이트는 일반적인 C : \ Inetpub \ www 폴더에 저장됩니다. 또한 SSL로 보호되는 사이트 섹션이 있습니다. 각 도메인마다 하나씩 두 개의 SSL 인증서가 있습니다.

사용자가 https : // domain1로 이동하면 com, 다 괜찮아 그러나 사용자가 https : // domain2로 이동하면 com, Internet Explorer가 보안 경고를 시작합니다. 분명히 이것은 우리가 원하는 것이 아닙니다. (여기서 ServerFault를 사용하면 한 번에 둘 이상의 URL을 게시 할 수 없기 때문에 URL에 공백을 넣어야했습니다.)

다음은 IIS 관리자의 사이트 설정에 대한 정보입니다.

여기에는 "domain1.com"과 "Administration"의 두 사이트가 있습니다. domain1.com의 속성으로 이동하면 IP 주소의 값은 "(All Unassigned)"입니다.

고급에서 "domain2.com"이 IP 주소 "Default"와 함께 나열됩니다. 또한 "이 웹 사이트에 대한 여러 SSL ID"에는 IP 주소가 "Default"이고 표준 SSL 포트가 443 인 항목이 하나 있습니다.

"Directory Security> View Certicate"에서 domain1.com의 인증서를 볼 수 있습니다. 모든 것이 정상인 것 같습니다.

요약하자면, 나는 같은 장소로 이어지는 별도의 도메인에 대해 별도의 SSL 인증서를 설정하려고합니다. 이게 가능해? 누구든지 프로세스를 나에게 설명하고 가능한 한 바보로 만들거나 적어도 올바른 방향으로 나를 가리킬 수 있다면 크게 감사하겠습니다.

이것이 이해가되지 않거나 충분한 정보 (또는 올바른 정보)를 제공하지 않은 경우 알려주십시오.

답변:


5

SSL을 사용하여 가상 호스트를 사용할 수 없으므로 SSL을 사용하여 두 사이트를 모두 호스팅하려면 두 개의 IP 주소가 있어야합니다. 각 IP 주소에는 특정 호스트와 SSL 인증서가 바인딩되어 있습니다.

즉, 서버에 2 개의 IP 주소가 필요하고 하나는 domain1.com에 바인딩되고 다른 하나는 domain2.com에 바인딩되고 다른 하나는 domain1.com에 대한 IIS 사이트 하나와 domain2.com에 대한 IP 주소가 필요합니다. 둘 다 동일한 콘텐츠를 제공 할 수 있지만 별도의 사이트 여야합니다.

Apache는 SSL을 사용하여 호스트를 수행 할 수있는 SNI ( 여기 참조 )를 지원하지만 현재 IIS에서는 지원하지 않습니다.


2
여러 개의 IP를 사용하는 것 외에도 단일 IP이지만 다른 (비표준) 포트를 가질 수 있으며 서버 앞의 가속기 모드에서 프록시를 사용하여 들어오는 요청을 수락하고 올바른 IP 및 / 또는 포트 번호.
Max Alginin

* .domain.com과 같은 와일드 카드 도메인을 사용하는 경우 IIS 종류가 지원됩니다. 이것은 Server 2003 R2에서 도입되었습니다. IIS 관리자는이를 지원하지 않지만 adsutil을 사용하거나 metabase.xml을 직접 편집 할 수 있습니다. 기발한 작업이며 수행중인 작업을 이해해야하므로 IIS 팀이 IIS7 관리자에서 아직 활성화하지 않은 이유입니다. 그러나 권장되는대로 도메인 이름마다 전용 IP 및 사이트를 보유하는 것이 이상적인 솔루션이며 서로 다른 두 도메인 이름 (domain1.com 및 domain2.com)에 대한 유일한 솔루션입니다.
Scott Forsyth-MVP

0

가장 좋은 솔루션은 하나의 인증서에 여러 도메인을 포함 할 수 있는 통합 커뮤니케이션 인증서 를 사용하는 것입니다. 인증서에 두 도메인을 모두 포함 시키면 완료됩니다. 여분의 IP 주소 또는 다른 포트 등에 대해 걱정할 필요가 없습니다.


과거에 와일드 카드 인증서라고하는 것을 보았습니다 (* .domain.com은 모두 동일한 상자에서 호스팅 됨).
Milner

1
보안이 필요한 모든 호스트 이름이 단일 기본 도메인 (mail.domain.com, www1.domain.com 등)에있는 경우 와일드 카드 인증서는 동일한 용도로 사용할 수 있습니다.이 경우 그는 UC 인증서가 필요합니다. 그는 두 개의 서로 다른 기본 도메인 (domain1.com 및 domain2.com)을 보호해야합니다.
Robert

0

SNI SSL 인증서를 사용할 수 있습니다. IP 검사가 수행되지 않으므로 IP 주소가 동일한 웹 사이트를 가질 수 있지만 SSL 인증서를 확인하기 위해 Host HTTP / 1.1 헤더가 검사됩니다.

추신 : 이전 브라우저는 SNI SSL 인증서 또는 투명한 프록시를 가로 채기를 확인할 수 없습니다.


0

나는 말할 수는 없지만 IIS는 SNI를 지원합니다 (IIS 6이 아니라 현재 10 세 이상). SNI에 대해 매우 유익한 정보를 얻으려면 다음 게시물을 참조하십시오. 동일한 IP 주소와 동일한 포트에있는 여러 SSL 도메인? 어쨌든 Heartbleed 취약점으로 인해 SSL 3.0은 안전하지 않은 것으로 간주되므로 TLS 1.0은 지원되는 최소 암호화 여야하므로 HTTP 1.1이 필요한 유일한 단점은 그다지 요구되지 않습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.