IIS 7和SSL通配符证书

Question

我有一个不安全的域，想要创建一个安全的子域。 在运行Windows Server 2008和IIS 7的同一IP地址上。

因此，我为* .mydomain.co.uk购买了通配符SSL证书，并将其很好地安装在服务器上。 它正确显示在服务器证书下。

我已经使用HTTP绑定设置了子域以进行测试，并且一切正常，因此IIS没问题。 然后，我在常规443端口上为子域添加HTTPS绑定，并且由于我将证书命名为* .mydomain.com，因此在UI中为我启用了“主机名”框。 因此，我设置了HTTPS绑定，删除了HTTP绑定，重新启动了网站和IIS。 当我浏览到www.mydomain.com时可以正常工作-但是当我浏览到https://subdomain.mydomain.com时，出现浏览器错误，提示找不到服务器。

任何帮助将非常感激。

Answer 1

OK弄清楚了-与往常一样，这是很多问题，而不仅仅是一个问题。

首先是防火墙问题-服务器在Amazon EC2上运行，并且安全组已设置为阻止端口443上的HTTPS通信。

第二个确实是DNS。 尽管使用HTTP绑定时可以浏览子域而没有CNAME记录，但是使用HTTPS时似乎需要显式的CNAME记录。 不要问我为什么。

有问题的子域适用于IFrame Facebook应用。 它在IE和Chrome中表现良好，但Firefox抛出了ssl_error_renegotiation_not_allowed错误。 这是由于IIS中的SSL设置-需要将它们设置为“需要SSL（未打勾）”或打勾，然后再忽略“客户端证书”

ew-很高兴它现在已经启动并运行。

Answer 2

弄清楚这一点可能会很痛苦，但是要寻找的一件事是

但是，请确保用于子域的应用程序池的标识具有对C：\\ ProgramData \\ Microsoft \\ Crypto \\ RSA \\ MachineKeys文件夹的权限。

Answer 3

检查您的DNS设置，并确保subdomain.mydomain.com拥有A或CNAME记录。

仅将您的Web服务器设置为处理特定域名并不意味着主机名/域实际上已经存在-还必须为其配置DNS系统。

Answer 4

我能够使用A记录而不是CNAME来做到这一点。 我不需要勾选SSL。 我改用URL重写。
<rule name="redirect to https" stopProcessing="true"> <match url="http://(.*)"/> <conditions> <add input="{HTTPS}" pattern="^OFF$"/> </conditions> <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent"/> </rule>

您还需要使用通配符证书在所有安全子域上设置SSL主机标头。

appcmd set site /site.name:"<IISSiteName>" /+bindings.[protocol='https',bindingInformation='*:443:<hostHeaderValue>']