El nombre del servidor SSL no coincide cómo omitir ie11

12

Tenemos una aplicación y la historia realmente corta es que las cosas deben configurarse de esta manera para que el resto de la aplicación no falle.

Tenemos un dominio

https: // server01 / AppNet

En IIS, el enlace 443 está configurado para usar un certificado con:

CN = server02

Cuando llego a la página de

https: // server01 / AppNet

Recibo una advertencia SSL

ingrese la descripción de la imagen aquí

Encontre este articulo

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Pero me gustaría evitar la parte sobre:

"Desafortunadamente, también evitará que el navegador se queje de los desajustes de direcciones en todos los demás sitios que visite, eso es menos que ideal, pero es el tipo de compensación que puede hacer cuando usa IE".

También he seguido los pasos que se detallan a continuación, pero sigo dando error

Solución 1: instale el certificado

Haga clic derecho en el icono "Internet Explorer", luego elija "Ejecutar como administrador".

Visite el sitio web y elija la opción "Continuar a este sitio web (no recomendado)".

Haga clic donde dice "Error de certificado" en la barra de direcciones, luego elija "Ver certificados".

Seleccione "Instalar certificado ...".

Seleccione "Siguiente".

Seleccione la opción "Colocar todos los certificados en la siguiente tienda".

Seleccione "Examinar ...".

Elija "Autoridades de certificación raíz de confianza", luego seleccione "Aceptar".

Seleccione "Sí" cuando se le solicite la advertencia de seguridad.

Seleccione "Aceptar" en el mensaje "La importación se realizó correctamente"

Seleccione "Aceptar" en el cuadro "Certificado".

Esto es solo para la red interna

¿Hay algo que pueda agregar a IIS?

¿Hay algo que pueda agregar a DNS?

¿Alguna otra solución?

ssl iis internal-dns Anthony Fornito
fuente
¿Puede decirle al usuario que acceda al servidor URI2? eso le permitirá simplemente agregar la entrada DNS de un servidor2 que apunta al servidor1
yagmoth555
¿No estoy seguro de lo que quieres decir? Server2 URI?
Anthony Fornito
2
¿Puede explicar por qué tiene que configurarse de esta manera obviamente rota, con un certificado que no coincide? No parece un punto de partida razonable.
Håkan Lindqvist
Lo sé, server01 aloja una variedad de aplicaciones heredadas que tienen que comunicarse con recursos externos, esos recursos deben usar el servidor server01 para su ssl. La aplicación está alojada en el servidor01, sin embargo, el nombre de dominio se redirige al servidor02 alojado en el mismo cuadro. no recibo una advertencia de SSL cuando voy al servidor 02 / AppNet debido a la coincidencia CN, sin embargo, cuando presiono Server01 / AppNet obtengo el error porque el CN ​​no coincide, así que en resumen lo que me gustaría poder hacer es ignorar el error para eso nombre / ssl,
Anthony Fornito
1
En cuanto a la solución alternativa citada incluida en la pregunta, esa es una solución alternativa para una advertencia sobre un certificado no confiable. No es relevante para el escenario diferente de un certificado con el nombre de sujeto incorrecto.
Håkan Lindqvist

Respuestas:

14

Si tiene acceso para crear sus certificados para ese servidor, le sugiero que cree un certificado que incluya nombres alternativos que el servidor pueda ser conocido. De esa manera, el navegador resolverá automáticamente el nombre correcto.

De https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Certificado SAN (Certificado de nombre alternativo del sujeto)

Puede configurar el certificado comodín si el nombre de dominio para todos los sitios es el mismo y los cambios de subdominio de primer nivel. ¿Qué sucede si desea configurar los sitios que deberían funcionar en dos nombres de dominio diferentes, por ejemplo, un sitio con encabezado de host como www.testserver1.com y otro sitio con hostheader como www.testserver2.com? En este caso, el certificado comodín no lo ayudará. Para resolver este problema tenemos el Certificado SAN.

Un certificado SAN permite proteger múltiples nombres de dominio con un solo certificado. Por ejemplo, podría obtener un certificado para myserver.com y luego agregar más valores SAN para que el mismo certificado proteja myserver.org, myserver.net e incluso myserver2.com o www.example.com.

Puede ver los nombres de dominio en la opción Nombre alternativo del sujeto en el Certificado

sweetfa
fuente
Sí, este fue mi primer pensamiento y tal vez mi única alternativa, esperaba poder encontrar una solución alternativa porque el propietario del servidor no está presente, pero si no encuentro nada hoy, lo haré mañana y veré si funciona.
Anthony Fornito
No hay nada que pueda hacer al final, excepto deshabilitar la comprobación de todos los nombres de host, lo cual, como ha indicado, no es la mejor práctica. Algunos navegadores le permiten ignorar permanentemente esta comprobación de seguridad, pero desde la memoria IE no proporciona esta opción
Sweetfa