Pregunta SSL Nombre de servidor no coincide cómo omitir ie11


Tenemos una aplicación y la corta historia es que las cosas deben configurarse de esta manera para que el resto de la aplicación no falle.

Tenemos un dominio

https: // server01 / AppNet

En IIS, el enlace 443 está configurado para usar un certificado con:

CN = server02

Cuando llego a la pagina de

https: // server01 / AppNet

Recibo una advertencia SSL

enter image description here

Encontré este artículo

https://superuser.com/questions/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

Pero quisiera evitar la parte sobre:

"Desafortunadamente, también evitará que el navegador se queje por las discrepancias de direcciones en cada uno de los otros sitios que visita. Eso no es lo ideal, pero es el tipo de compromiso que debe hacer cuando usa IE".

También he seguido los pasos que se describen a continuación, sin embargo, todavía dan error

Solución 1: instalar el certificado

Haga clic derecho en el icono de "Internet Explorer", luego elija "Ejecutar como administrador".

Visite el sitio web y elija la opción "Continuar a este sitio web (no recomendado)".

Haga clic donde dice "Error de certificado" en la barra de direcciones, luego elija "Ver certificados".

Seleccione "Instalar certificado ...".

Seleccione "Siguiente".

Seleccione la opción "Colocar todos los certificados en la siguiente tienda".

Seleccione "Examinar ...".

Seleccione "Autoridades de certificación de raíz de confianza" y, a continuación, seleccione "Aceptar".

Seleccione "Sí" cuando se le solicite la advertencia de seguridad.

Seleccione "OK" en el mensaje "La importación fue exitosa"

Seleccione "Aceptar" en la casilla "Certificado".

Esto es solo para red interna.

¿Hay algo que pueda agregar a IIS?

¿Hay algo que pueda agregar a DNS?

¿Algún otro trabajo alrededor?


12
2018-01-10 20:42


origen


¿Puedes decirle al usuario que acceda a URI server2? que le permitirá simplemente agregar una entrada de DNS de server2 apuntando a server1 - yagmoth555♦
¿No estoy seguro de lo que quieres decir? Server2 URI? - Anthony Fornito
¿Puede explicar por qué tiene que configurarse de esta manera obviamente rota, con un certificado que no coincide? No suena como un punto de partida razonable. - Håkan Lindqvist
Lo sé, server01 aloja una serie de aplicaciones heredadas que tienen que hablar con recursos externos, los recursos que usamos tienen para el servidor server01 para su ssl. La aplicación está alojada en server01. Sin embargo, el nombre de dominio es redirigido a server02 alojado en la misma casilla. no obtengo una advertencia ssl cuando vaya a server02 / AppNet debido a la coincidencia de CN, sin embargo, al golpear Server01 / AppNet obtengo el error debido a la falta de coincidencia de CN, así que en resumen, lo que me gustaría poder hacer es ignorar el error. nombre / ssl, - Anthony Fornito
En cuanto a la solución alternativa citada incluida en la pregunta, es una solución alternativa para una advertencia sobre un certificado no confiable. No es relevante para el escenario diferente de un certificado con el nombre de sujeto incorrecto. - Håkan Lindqvist


Respuestas:


Si tiene acceso para crear sus certificados para ese servidor, le sugiero que cree un certificado que incluya nombres alternativos con los que se pueda conocer al servidor. De esa manera el navegador resolverá automáticamente el nombre correcto.

Desde https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Certificado SAN (Certificado de nombre alternativo del sujeto)

Puede configurar el certificado comodín si el nombre de dominio para todos los   Los sitios son subdominios iguales y de primer nivel. Que tal si quieres   configurar los sitios que deberían funcionar en dos nombres de dominio diferentes, para   ejemplo, un sitio con encabezado de host como www.testserver1.com y otro   sitio con hostheader como www.testserver2.com. En este caso, comodín.   El certificado no te ayudará. Para resolver este problema tenemos SAN   Certificado.

Un certificado SAN permite que múltiples nombres de dominio estén protegidos con un   certificado único. Por ejemplo, usted podría obtener un certificado para   myserver.com, y luego agregue más valores SAN para tener el mismo   Certificado de protección myserver.org, myserver.net e incluso myserver2.com   o www.example.com.

Puede ver los nombres de dominio en la opción Nombre alternativo del sujeto en   el certificado


14
2018-01-10 21:03



Sí, esto fue lo primero que pensé y tal vez mi única alternativa, esperaba poder encontrar una solución porque el propietario del servidor no está dentro, pero si no descubro nada hoy, haré esto mañana y veré si funciona. - Anthony Fornito
No hay nada que pueda hacer al final, excepto deshabilitar la comprobación de todos los nombres de host, lo que, como ha indicado, no es la mejor práctica. Algunos navegadores le permiten ignorar permanentemente esta comprobación de seguridad, pero desde la memoria IE no ofrece esta opción - sweetfa