Usar SNI en Windows Server 2012 R2 no funciona

10

ingrese la descripción de la imagen aquí

Estoy tratando de que mis dos sitios se ejecuten con sus certificados separados en un Windows Server 2012 R2.

¿No debería ser esto posible?

En el último sitio agregado www.c1get.net obtengo el certificado del primer sitio y, por lo tanto, una advertencia.

Actualizar

SSL Certificate bindings:
-------------------------

    IP:port                      : 0.0.0.0:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : 100.88.158.59:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : owindemo.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : demo009.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.s-innovations.net:443
    Certificate Hash             : 09ee7268be2509e3262dcae9df10563dce265bd3
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    Hostname:port                : www.c1get.net:443
    Certificate Hash             : fabae896e032f9ba08b389d8c9ecd33908fabe31
    Application ID               : {4dc3e181-e14b-4a21-b022-59fc669b0914}
    Certificate Store Name       : My
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled
iis windows-server-2012-r2 sni Poul K. Sørensen
fuente
¿De qué salida obtienes netsh http show sslcert?
Shane Madden
agregó la salida
Poul K. Sørensen
3
Me pregunto si el enlace no SNI en esa IP está haciendo la diferencia por alguna razón. ¿Algún cambio si ese enlace está deshabilitado?
Shane Madden
¿Cómo ves cuál no es SNI?
Poul K. Sørensen
Te refieres a este: 100.88.158.59:443. En realidad no sé por qué está ahí. Estoy revisando todos los sitios en IIS y solo hay enlaces SNI en la interfaz de usuario
Poul K. Sørensen

Respuestas:

11

Respondiendo esto en nombre de Shane Madden y s093294

Shane: Me pregunto si el enlace no SNI en esa IP está haciendo la diferencia por alguna razón. ¿Algún cambio si ese enlace está desactivado?

s093294: De acuerdo. Ese fue el problema. Lo quité con netsh http delete. Ahora solo necesito entender por qué estaba allí en primer lugar. Es una configuración automatizada que implementa una máquina en servicios en la nube azul.

MichelZ
fuente
Tuve el mismo problema con la implementación del servicio en la nube de Azure y la configuración de SNI. Sé que es una pregunta muy antigua, pero ¿tuvo suerte al descubrir cuál era la razón de los registros predeterminados netsh http sslcert?
Sergey Litvinov
Déjame más claro: el mismo problema en Windows Server 2016 con IIS10.0. obviamente es un tipo de ERROR, si agrega un nuevo enlace SSL con IP (pero sin nombre de URL) y certificación, aparecerá: esa certificación se mostrará en una URL diferente cuando la abra en el navegador, sin importar que elimine eso vincular el problema aún existe. Debe verificarlo: netsh http show sslcerten la línea de comando, si descubre que hay un enlace de dirección IP pero no en su IIS, eso es todo. Y la necesidad de eliminarlo haciendo manualmente en la línea de comandos: netsh http delete sslcert ipport=[bind IP address]:[bind port]. cansado ....
qakmak