none
Добавление сертификата к сервису RRS feed

  • Вопрос

  • Здравствуйте!

    По долгу работы пришлось с толкнуться с Windows Server 2008 R2, а в частности с IIS 7.

    Что есть: Windows Server 2008, куплен домен и сертификат к нему. На сервере установлен IIS 7 + ПО, работающее по порту 2443. ПО работает следующим образом: в браузере вбиваем адрес https://ДОМЕН.ru. В настройках домена указан редирект на IP сервера https://IP:2443. После чего ПО берет управление на себя и отдает HTML страницу. В IIS добавлен веб-сайт по умолчанию. ПО лежит совершенно в другой папке.

    Что необходимо: необходимо привязать сертификат к службе. Той самой, которая работает по порту 2443. Сертификат добавлен на сервер. Если в настройках сайта установить привязку на порт 2443 по протоколу https с сертификатом, то служба запускаться отказывается, видимо таким образом занимается порт. Привязка к 443 порту ничего не дает. На данный момент при обращении к сайту по https выдается сертификат localhost. В IIS 7 любой версии не силен совсем. Чтение мануалов никаких результатов не дало. Прошу помощи.

    Спасибо за внимание

    28 января 2016 г. 11:45

Ответы

Все ответы

  • Сертификат требуется для любого соединения по протоколу HTTPS, причём имя, указанное в запросе HTTP должно быть прописано в сертификате.

    В вашем случае:

    1. Раз браузер обращается по https://ДОМЕН.ru к сайту по умолчанию, то на этом сайте по умолчанию должен быть настроен сертификат для имени ДОМЕН.ru. Потому что перенаправление - это ответ протокола HTTP, который нельзя получить, пока не установлено защищённое соединение, для чего требуется сертификат сервера.

    2. Т.к. в результате перенаправления браузер обращается на порт 2443, который прослушивает служба, то у самой службы тоже должен быть свой сертификат, который содержит имя (или, в вашем случае - IP-адрес), указанный в перенаправлении и которому доверяет браузер. То есть, лучше - покупной, но в таком случае возникает затруднение: получить сертификат для адреса IP не так-то просто.

    Что вы можете сделать.

    Вариант 1 - поменять перенаправление, чтобы оно шло на имя, а не на адрес - https://ДОМЕН.ru:2443 и установить купленный сертификат и на сайт по умолчанию, и в службу.

    Вариант 2 - Установить на IIS модуль Application Request Routing (это - дополнительный загружаемый модуль для IIS) и настроить его так, чтобы дефолтный сайт работал в качестве "обратного прокси-сервера" - перенаправлял все запросы с порта 443 на порт 2443 и установить купленный серетификат на дефолтный сайт - в этом случае браузер вообще не будет обращаться к службе напрямую.

    Для публичного использования второй вариант предпочтительнее (потому что некоторые прокси-серверы и межсетевые экраны без дополнительной настройки не пропускают соединения HTTPS на нестандартные порты), но в настройке для администратора с недостаточным опытом он сложнее.

    Так что, выбирайте сами, что вам больше подходит.


    Слава России!


    28 января 2016 г. 12:39
  • Спасибо за отчет, но что-то у меня не получается. Есть такой вопрос:

    > Вариант 1 - поменять перенаправление, чтобы оно шло на имя, а не на адрес - https://ДОМЕН.ru:2443 и установить купленный сертификат и на сайт по умолчанию, и в службу.

    а как установить сертификат в службу?

    4 февраля 2016 г. 14:10
  • Как установить сертификат для службы - это от вашей службы зависит, в её настройках делать нужно.


    Слава России!

    4 февраля 2016 г. 14:48