Несоответствие имени сервера SSL, как обойти ie11


12

У нас есть приложение, и очень короткая история заключается в том, что все должно быть настроено таким образом, чтобы остальная часть приложения не выходила из строя.

У нас есть домен

https: // server01 / AppNet

В IIS привязка 443 настроена для использования сертификата с:

CN = Server02

Когда я попал на страницу для

https: // server01 / AppNet

Я получаю предупреждение SSL

введите описание изображения здесь

Я нашел эту статью

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Но хотел бы избежать части о:

«К сожалению, браузер также не будет жаловаться на несоответствия адресов на каждом другом сайте, который вы посещаете. Это далеко не идеально, но это тот тип компромисса, который вы получаете, когда используете IE».

Я также выполнил шаги, описанные ниже, но все равно выдает ошибку

Исправление 1 - установить сертификат

Щелкните правой кнопкой мыши значок «Internet Explorer», затем выберите «Запуск от имени администратора».

Посетите веб-сайт и выберите вариант «Перейти на этот веб-сайт (не рекомендуется)».

Нажмите там, где написано «Ошибка сертификата» в адресной строке, затем выберите «Просмотр сертификатов».

Выберите «Установить сертификат…».

Выберите «Далее».

Выберите опцию «Поместить все сертификаты в следующий магазин».

Выберите «Обзор…».

Выберите «Доверенные корневые центры сертификации», затем нажмите «ОК».

Выберите «Да» при появлении запроса с предупреждением безопасности.

Выберите «OK» в сообщении «Импорт успешно завершен»

Выберите «ОК» в поле «Сертификат».

Это только для внутренней сети

Что я могу добавить в IIS?

Могу ли я что-нибудь добавить в DNS?

Любые другие обходные пути?


Можете ли вы сказать пользователю доступ к URI сервера2? это позволит вам просто добавить DNS-запись server2, указывающую на
server1

Я не уверен, что вы имеете в виду? URI сервера2?
Энтони Форнито

2
Можете ли вы объяснить, почему он должен быть настроен таким явно нарушенным способом, с сертификатом, который не соответствует? Это не похоже на разумную отправную точку.
Хакан Линдквист

Я знаю, что server01 размещает массив устаревших приложений, которые должны общаться с внешними ресурсами, эти ресурсы должны использовать для server01 для их ssl, приложение размещается на server01, однако имя домена перенаправляется на server02, размещенный в том же окне, я не получайте ssl предупреждение при переходе на server02 / AppNet из-за совпадения CN, однако при нажатии Server01 / AppNet я получаю ошибку из-за несоответствия CN, так что вкратце я хотел бы иметь возможность игнорировать ошибку для этого name / ssl,
Энтони Форнито

1
Что касается процитированного обходного пути, включенного в вопрос, это обходной путь для предупреждения о ненадежном сертификате. Не относится к другому сценарию сертификата с неправильным именем субъекта.
Хокан Линдквист

Ответы:


14

Если у вас есть доступ к созданию сертификатов для этого сервера, я предлагаю вам создать сертификат, включающий альтернативные имена, которые сервер может называть. Таким образом, браузер автоматически разрешит правильное имя.

С https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Сертификат SAN (Сертификат альтернативного имени субъекта)

Вы можете настроить подстановочный сертификат, если доменное имя для всех сайтов одинаковое, а поддомен первого уровня изменяется. Что делать, если вы хотите настроить сайты, которые должны работать на двух разных доменных именах, например, сайт с заголовком узла www.testserver1.com и другой сайт с заголовком узла www.testserver2.com. В этом случае сертификат Wildcard вам не поможет. Для решения этой проблемы у нас есть сертификат SAN.

Сертификат SAN позволяет защищать несколько доменных имен одним сертификатом. Например, вы можете получить сертификат для myserver.com, а затем добавить дополнительные значения SAN, чтобы иметь тот же сертификат для защиты myserver.org, myserver.net и даже myserver2.com или www.example.com.

Вы можете увидеть доменные имена в опции Subject Alternative Name в сертификате


Да, это была моя первая мысль, и, возможно, моя единственная альтернатива, я надеялся найти способ обойти эту проблему, потому что владелец сервера не в курсе, но если я ничего не узнаю сегодня, я сделаю это завтра и посмотрю, работает ли он.
Энтони Форнито

Вы ничего не можете сделать, кроме как отключить всю проверку имени хоста, что, как вы указали, не является лучшей практикой. Некоторые браузеры позволяют постоянно игнорировать эту проверку безопасности, но из памяти IE не предоставляет эту опцию
sweetfa
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.