none
Všechny domeny se z webu ukazuji; s jednim ssl certifikatem RRS feed

  • Dotaz

  • Zdravím, mám windows server 2012 R2 s veřejnou ip. Běží mi tam IIS 8.5 s několika doménami. Nainstaloval jsem si certify a vygeneroval pro kazdou unikátní certifikát. Přiřadil vše podle návodů od microsoftu. Ale stejně se všechny domény z webu  zobrazují jen s jedním, takze mi prohlizec hlasí chybu, že certifikát byl vystaven pro jinou doménu. Zjednodušeně mám doménu 1, 2, 3 a pro každou svůj certifikát u každého bindingu mám zaškrtnutou možnost kolonku require server name indication. Ale při zadání domény 2,3 se ukazuje certifikát pro doménu 1. Co s tím?
    čtvrtek 12. září 2019 10:57

Odpovědi

  • Tak jsem nalezl zdroj problému. Měl jsem kdysi nainstalovaný solidcp a ten si zapsal bindingy s ssl do registrů, ale nebyly vidět v iis manageru. I přesto že jsem solidcp odinstaloval, tak si po sobě neuklidil v registrech. Nicméně po promazání těchto registrů server začal hazet BSOD. Takže jsem to vyřešil reinstalací systému a už všechno frčí.
    • Označen jako odpověď Matěj Vajnar neděle 27. října 2019 10:11
    neděle 27. října 2019 10:11

Všechny reakce

  • Hlavne musis mit v bindigs dane WEBsite uvedene HOST name. Samotne SNI zatrzitko jaksi nestaci.

    A nebo jinak - polopaticky, protoze zadani dotazu ukazuje, ze trochu tapes.

    Mas v IIS vice WEBsite - modrych zemekouli = nastavil si bindings TRIKRAT?

    Ktere navody si pouzil?

    čtvrtek 12. září 2019 13:06
  • Spíš jsem se snažil vysvětlit problém polopaticky, každopádně mám tam hostovaných asi 20 domén, z toho každá má samozřejmě binding www.domena.cz a domena.cz na port 80 pro http a 443 pro https (tzn 4 bindingy na doménu/WEBsite). Zároveň při https mám přiřazený SSL certificate pro každou doménu jiný. A nehledě na to jestli zaškrtnu SNI tak se mi ukazuje na webu chyba certifikatu.

    doména u které to dělá je například https://cloudm.cf (dostane certifikát vygenerovaný pro https://vajnyhost.tk) stejně je to i u ostatních domén


    A návod jsem použil například tento www . digicert.com/ssl-support/ssl-host-headers-iis-8.htm


    čtvrtek 12. září 2019 18:09
  • Predpokladam je server za nejaky routerem/firewallem. Kdyz si na lokalni siti dam do HOST headeru cloudm.cf  s lokalni IP server, udela to tu chybu taky?

    Nemas v IISku nejaky URLRewrite, nebo jine presmerovani?

    pátek 13. září 2019 8:22
  • Server je za routerem a zároveň má zapnutý firewall, ale je to proNATovaný ven.

    Z místní sítě to dělá taky i z localhostu.

    a v IISku mám jedno url rewrite na přesměrování z http na https. Ale je jenom na domene vajnyhost.tk.

     <rewrite>
     <rules>
     <rule name="HTTPS force" enabled="true" stopProcessing="true">
     <match url="(.*)" />
     <conditions>
     <add input="{HTTPS}" pattern="^OFF$" />
     </conditions>
     <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" />
     </rule>
     </rules>
     </rewrite>


    pátek 13. září 2019 11:24
  • A fakt dostanu spravnou site = poznam napriklad podle obsahu stranek - a fakt mam jiny certifikat, nez je v bindings?

    Nemas je v certifikatovem ulozisti nejak blbe pojmenovany?

    Tj v bindings View tlacitko certifikatu ukaze ten spravny?


    pátek 13. září 2019 13:42
  • Problem porad trva? Tak jeste me napdalo podivat se na konfiguraci SSL globalne.

    Spustit v CMD -  NETSH HTTP SHOW SSLCERT

    Vypisi se vsechna mapovani hostname:port plus thumbprinty k tomu pridelenych certifikatu.

    Proste nekde ta chybka videt byt musi.

    úterý 17. září 2019 7:07
  • Problém stále trvá, akorát jsem neměl čas na přistup k serveru. 

    Každopádně když zobrazím certifikát z iis ukazuje se správně a kazdy je pojmenován unikátně.

    NETSH vypisuje tohle. Nevím proč se tady vypisují porty 44386 atd... když v iis je vidět port 443. Ale asi je to správně hádám.

        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44386
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44387
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44388
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44389
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44390
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44391
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44392
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44393
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44394
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44395
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44396
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44397
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44398
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:44399
        Certificate Hash             : 1349b3d48a580a05919e36cf71e24ec8668df968
        Application ID               : {214124cd-d05b-4309-9af9-9caa44b2b74a}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:8172
        Certificate Hash             : e37ebe6e62d164b7b0c51024333a6e0f841f5d91
        Application ID               : {00000000-0000-0000-0000-000000000000}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 0.0.0.0:9401
        Certificate Hash             : a4f51d74f24ca5ab1c29d378acc26d4385c2ad8f
        Application ID               : {c1c52494-c27c-427c-aa00-602f93215488}
        Certificate Store Name       : MY
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        IP:port                      : 192.168.0.100:443
        Certificate Hash             : 4ccc1fa8b373a6888a125143c480b2e00efe59c9
        Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
        Certificate Store Name       : My
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        Hostname:port                : mko-outfits.ml:443
        Certificate Hash             : 8812a01f67490f80628aa375bbd463150d2ceac0
        Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
        Certificate Store Name       : My
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        Hostname:port                : www.mko-outfits.ml:443
        Certificate Hash             : 8812a01f67490f80628aa375bbd463150d2ceac0
        Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
        Certificate Store Name       : My
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        Hostname:port                : vajnar.tk:443
        Certificate Hash             : e62ac02a7a7786377a0f972f52f75f0e72ec03ac
        Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
        Certificate Store Name       : My
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled

        Hostname:port                : cloudm.cf:443
        Certificate Hash             : d7587c56091b3e922f54642f11b35e33c99e5bbf
        Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
        Certificate Store Name       : My
        Verify Client Certificate Revocation : Enabled
        Verify Revocation Using Cached Client Certificate Only : Disabled
        Usage Check                  : Enabled
        Revocation Freshness Time    : 0
        URL Retrieval Timeout        : 0
        Ctl Identifier               : (null)
        Ctl Store Name               : (null)
        DS Mapper Usage              : Disabled
        Negotiate Client Certificate : Disabled



    C:\Users\Administrator>

    čtvrtek 19. září 2019 8:52
  • Tak jsem se zase ponoril na chvilku do vyzkumu.

    Jsem se ptal, jestli  mezi internetem a IIS je jeste neco, ze predpokladam jen jednoduchy router/fw. Odpoved jsem nedostal....rep. nebylo porvrzeni, ze to tak opravdu je.

    A evidentne tam neco sedi, zkontroluj si, protoze:

    https://cloudm.cf/ dostanu certifikat pro vajnyhost.tk s thumbprintem xxxxx0D:92:03:2C... ale takovy se ve vypisu NETSH nikde nevyskytuje (nebo jsem slepy) = chyba neni v IIS, OS

    Ad porty : 0.0.0.0:44398 atp.

    Ne, neni to normalni, zkontroluj si, ktera sluzba na nich sedi.Treba obycejnym NETSTATem.

    Nemas nahodou na jednom serveru treba jeste APACHE (nebo Tomcat) a nejaka podivna presmerovani mezi nim a IIS?


    pondělí 23. září 2019 7:59
  • Mezi iis a internetem stoji jenom router archer c6 Kde jsou pronatovene porty ven. Psal jsem to nahoře, ale nevadí.

    Ale stejna chyba se deje i z localhostu takze predpokladam ze tam chyba není. 

    Apache ani nic podobneho nemam. 

    A v netstatu ty porty vubec nevidim. 


    Active Connections

      Proto  Local Address          Foreign Address        State
      TCP    127.0.0.1:6290         vajnyhost:49159        ESTABLISHED
      TCP    127.0.0.1:9395         vajnyhost:64741        ESTABLISHED
      TCP    127.0.0.1:49159        vajnyhost:6290         ESTABLISHED
      TCP    127.0.0.1:49163        vajnyhost:49164        ESTABLISHED
      TCP    127.0.0.1:49164        vajnyhost:49163        ESTABLISHED
      TCP    127.0.0.1:64741        vajnyhost:9395         ESTABLISHED
      TCP    127.0.0.1:65287        vajnyhost:52181        SYN_SENT
      TCP    127.0.0.1:65288        vajnyhost:52181        SYN_SENT
      TCP    192.168.0.100:3389     WIN-Q5VM7VDECEO:13428  ESTABLISHED
      TCP    192.168.0.100:3389     78.156.49.78:57214     ESTABLISHED
      TCP    192.168.0.100:63444    wo-in-f188:5228        ESTABLISHED
      TCP    192.168.0.100:63567    prg03s01-in-f10:https  ESTABLISHED
      TCP    192.168.0.100:65248    vajnyhost:9392         TIME_WAIT
      TCP    192.168.0.100:65271    prg03s01-in-f10:https  ESTABLISHED
      TCP    192.168.0.100:65272    prg03s01-in-f10:https  ESTABLISHED
      TCP    192.168.0.100:65281    a-0001:https           ESTABLISHED
      TCP    192.168.0.100:65282    a-0001:https           ESTABLISHED
      TCP    192.168.0.100:65283    a-0001:https           ESTABLISHED
      TCP    192.168.0.100:65284    93.184.220.29:http     ESTABLISHED

    C:\Users\Administrator>


    středa 25. září 2019 12:58
  • Tak jsem nalezl zdroj problému. Měl jsem kdysi nainstalovaný solidcp a ten si zapsal bindingy s ssl do registrů, ale nebyly vidět v iis manageru. I přesto že jsem solidcp odinstaloval, tak si po sobě neuklidil v registrech. Nicméně po promazání těchto registrů server začal hazet BSOD. Takže jsem to vyřešil reinstalací systému a už všechno frčí.
    • Označen jako odpověď Matěj Vajnar neděle 27. října 2019 10:11
    neděle 27. října 2019 10:11
  • Bomba je, ze jako relevatni odpoved uvedes vlastni chaos v systemu a pouzivani nestandardniho SW. No nic....

    středa 30. října 2019 22:05
  • Mirku,

    spousta lidi by se zastydela a mlzila. Matej na sebe vsechno detailne nabonzoval. Za me dobry!

    MP

    čtvrtek 31. října 2019 19:45
    Moderátor