问多个站点和多个SSL证书的IIS10 SSL配置

EN

可以使用此方法检查服务器名称标识，这样可以避免证书提示。

此功能为托管在单个IP地址上具有不同或单独SSL的多个站点提供了更简单的解决方案。

每个HTTPS绑定都需要一个唯一的IP/端口组合，因为主机标头不能用于区分使用SSL.This的站点，因为在SSL握手期间主机标头不可见。

服务器名称指示(SNI)允许服务器为多个站点安全地承载多个TLS证书，所有证书都位于一个IP地址下。

#1 -它可以通过CLI命令(appcmd & netsh)或脚本(PowerShell)和编程(c#)实现，而不是使用IIS。

#2 -(见#1)。IIS管理器很愚蠢，将用所选的最后一个证书覆盖现有绑定。如果单击“是”，最终会将绑定附加到错误的证书上。这是IIS管理器GUI的限制，而不是IIS的限制。

#3 -你想让SNI打开。这意味着您可以拥有与同一个IP地址相关联的多个证书。如果没有SNI，每个证书需要一个IP地址。

这两个链接将让您了解如何使用appcmd和netsh --这是创建所需配置的最快/最简单的方法。

1. 将HTTPS绑定添加到站点
2. 将证书绑定到netsh

如果您知道PowerShell(“高级”)，您可以使用IISAdministration PowerShell cmdlet创建绑定，并与证书拇指打印相关联(尽管netsh对于调试和修复问题仍然很有用)。

无论是实际配置的两种方法-IIS绑定和Windows/SChannel/HTTPS.sys (操作系统组件实际上负责“HTTPS”中的“S”)。有时它们不同步，最简单的解决方法是删除和重新创建绑定(在单击“是”之后，“至少有一个网站使用相同的HTTPS绑定.”例如)。

很少有小窍门：

• 一旦您开始使用此配置，IIS管理器或Windows /软件安装可能会在某个时候中断您的绑定。编写一个脚本，可以删除和重新创建端口443的所有绑定(仅！)这样你就可以很容易地解决未来的问题。
• 如果您使用netsh -它非常挑剔的语法。使用命令netsh http add sslcert时，参数的顺序和间距非常重要。
• 虽然您的测试netsh http show sslcert和netsh http delete sslcert对于尝试不同的配置非常有用(这不会删除cert，只是绑定)
• 证书需要在机器证书存储中，并记下路径。使用path或netsh时，始终同时指定证书拇指打印和安装证书的存储\路径。
• 如果您需要在IIS站点上进行默认的HTTPS绑定(例如负载、平衡器、健康检查等)，那么在任何命名的HTTPS绑定之前添加它。

最后，如果您的域都在abc.com下的1级，那么获得通配符证书将为您省去很多麻烦。一个单一的*.abc.com证书将覆盖您的所有域，您可以完全避免这种限制。

祝好运!