Nama Server SSL tidak cocok cara memotong ie11


12

Kami memiliki aplikasi dan cerita yang sangat panjang adalah bahwa segala sesuatu harus diatur dengan cara ini agar sisa aplikasi tidak gagal.

Kami memiliki domain

https: // server01 / AppNet

Di IIS 443 mengikat adalah pengaturan untuk menggunakan sertifikat dengan:

CN = server02

Ketika saya menekan halaman untuk

https: // server01 / AppNet

Saya mendapat peringatan SSL

masukkan deskripsi gambar di sini

Saya menemukan artikel ini

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Tetapi ingin menghindari bagian tentang:

"Sayangnya, itu juga akan menghentikan browser dari mengeluh tentang ketidakcocokan alamat di setiap situs lain yang Anda kunjungi, juga. Itu kurang dari ideal, tapi itu jenis pengorbanan yang Anda dapatkan ketika Anda menggunakan IE."

Saya juga mengikuti langkah-langkah yang dijelaskan di bawah ini namun masih memberikan kesalahan

Fix 1 - Instal Sertifikat

Klik kanan ikon "Internet Explorer", lalu pilih "Run as administrator".

Kunjungi situs web, dan pilih opsi untuk "Lanjutkan ke situs web ini (tidak disarankan).".

Klik di mana dikatakan "Sertifikat salah" di bilah alamat, lalu pilih "Lihat sertifikat".

Pilih "Instal Sertifikat ...".

Pilih "Selanjutnya".

Pilih opsi "Tempatkan semua sertifikat di toko berikut".

Pilih "Jelajahi ...".

Pilih "Otoritas Sertifikasi Root Tepercaya", lalu pilih "OK".

Pilih "Ya" ketika diminta dengan peringatan keamanan.

Pilih "OK" pada pesan "Impor berhasil"

Pilih "OK" pada kotak "Sertifikat".

Ini hanya untuk jaringan internal

Adakah yang bisa saya tambahkan ke IIS?

Apakah ada yang bisa saya tambahkan ke DNS?

Ada pekerjaan lain di sekitar?


Bisakah Anda memberi tahu pengguna untuk mengakses server2 URI? yang akan memungkinkan Anda untuk hanya menambahkan entri DNS server2 yang menunjuk ke server1
yagmoth555

Saya tidak yakin apa yang Anda maksud? Server2 URI?
Anthony Fornito

2
Bisakah Anda menguraikan mengapa itu harus diatur dengan cara yang jelas-jelas rusak ini, dengan sertifikat yang tidak cocok? Itu tidak terdengar seperti titik awal yang masuk akal.
Håkan Lindqvist

Saya tahu, server01 meng-host array aplikasi lama yang harus berbicara dengan sumber daya eksternal, sumber daya tersebut harus menggunakan pengguna server01 untuk ssl mereka, Aplikasi di-host di server01 namun nama domain dialihkan ke server02 di-host di kotak yang sama, saya tidak mendapatkan peringatan ssl ketika pergi ke server02 / AppNet karena pertandingan CN, namun ketika memukul Server01 / AppNet saya mendapatkan kesalahan karena ketidakcocokan CN, Jadi singkatnya apa yang ingin saya lakukan adalah mengabaikan kesalahan untuk itu name / ssl,
Anthony Fornito

1
Adapun solusi yang dikutip termasuk dalam pertanyaan, itu solusi untuk peringatan tentang sertifikat yang tidak dipercaya. Tidak relevan dengan skenario sertifikat yang berbeda dengan nama subjek yang salah.
Håkan Lindqvist

Jawaban:


14

Jika Anda memiliki akses untuk membuat sertifikat untuk server itu, saya sarankan Anda membuat sertifikat yang menyertakan nama alternatif yang mungkin dikenal sebagai server. Dengan cara itu browser akan secara otomatis menyelesaikan nama yang benar.

Dari https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Sertifikat SAN (Sertifikat Nama Alternatif Subjek)

Anda dapat mengatur sertifikat wildcard jika nama domain untuk semua situs sama dan subdomain tingkat pertama berubah. Bagaimana jika Anda ingin mengatur situs yang harus bekerja pada dua nama domain yang berbeda, misalnya, situs dengan header host sebagai www.testserver1.com dan situs lain dengan hostheader sebagai www.testserver2.com. Dalam hal ini, sertifikat Wildcard tidak akan membantu Anda. Untuk mengatasi masalah ini, kami memiliki Sertifikat SAN.

Sertifikat SAN memungkinkan beberapa nama domain dilindungi dengan satu sertifikat. Misalnya, Anda bisa mendapatkan sertifikat untuk myserver.com, dan kemudian menambahkan lebih banyak nilai SAN untuk memiliki sertifikat yang sama melindungi myserver.org, myserver.net dan bahkan myserver2.com atau www.example.com.

Anda dapat melihat nama domain di opsi Nama Alternatif Subjek di Sertifikat


Ya ini adalah pemikiran pertama saya dan mungkin satu-satunya alternatif saya, saya berharap dapat menemukan solusi karena pemilik server tidak ada tetapi jika saya tidak menemukan apa-apa hari ini saya akan melakukan ini besok dan melihat apakah itu berfungsi.
Anthony Fornito

Tidak ada yang dapat Anda lakukan di akhir Anda kecuali menonaktifkan semua pemeriksaan hostname, yang, seperti yang telah Anda sebutkan, bukan praktik terbaik. Beberapa browser memungkinkan Anda untuk mengabaikan pemeriksaan keamanan ini secara permanen, tetapi dari memori, IE tidak menyediakan opsi ini
sweetfa
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.