Domänen in IIS10

[Emmermacher 15]

Hallo.

Wir sind hier dabei, unsere Webautritte auf eine neue Domain umzustellen. Die alten Namen sollen aber erst noch einmal bestehen bleiben.

Beim IIS habe ich eine neue Website angelegt. Der Sitename ist neu. Anwendungspool und der Pfad bleiben gleich.

Aktuell ist die Bindung des Protokolls *:80 und *:443  auf der alten Site.

Die neue Site ist aktuell nur auf Port 80.

Erstelle ich eine neue Bindung für https bekomme ich diese Meldung:

Mindestens eine andere Site verwendet die gleiche HTTPS-Bindung und die Bindung ist mit einem anderen Zertifikat konfiguriert. Möchten Sie diese HTTPS-Bindung wirklich wiederverwenden und den anderen Sites das neue Zertifikat zuweisen?

 

Was muss man hier tun, damit beide Sites mit "ihrem" Zertifikat laufen?

 

Vielen Dank im voraus für Eure Antworten.

 

LG

 

Dirk Emmermacher

[testperson 1.728]

Hi,

 

entweder ein Zertifikat mit allen FQDNs als SAN oder alternativ dürfte das Stichwort SNI sein.

 

Gruß

Jan

[Emmermacher 15]

Hallo Jan.

Herzlichen Dank für Deine Antwort.

Bei den Zertifikaten handelt es sich um Wildcardzertifikate.

 

LG

 

Dirk

[NorbertFe 2.089]

Zweite IP wäre noch eine Möglichkeit. :) Ob das praktikabel ist, sei mal dahingestellt.

[Dukel 457]

36 minutes ago, Emmermacher said:

 

Hallo.

Wir sind hier dabei, unsere Webautritte auf eine neue Domain umzustellen. Die alten Namen sollen aber erst noch einmal bestehen bleiben.

Beim IIS habe ich eine neue Website angelegt. Der Sitename ist neu. Anwendungspool und der Pfad bleiben gleich.

Wozu? Wieso änderst du nicht die vorhandene Seite und passt dort das Binding an?

Wenn dieses eh ohne Hostname konfiguriert wurde musst du im IIS gar nichts machen sondern nur im DNS.

[Emmermacher 15]

Hallo.

@NorbertFe:

Das halte ich für weniger schön.

 

@Dukel:

Werde ich mal testen. Um den alten Domainnamen zu erhalten könnte ich mir vorstellen, diese auf einem apache einzurichten und dann auf die neue URL weiterzuleiten. Ist zwar keine Ideallösung, aber die alte Domain wir ja nicht ewig bestehen...

 

LG

 

Dirk

[Dukel 457]

Wieso umleiten oder Apache nutzen? Einfach beide Domänen Namen auf den selben Server IIS-Site zeigen lassen.

[NorbertFe 2.089]

vor 2 Minuten schrieb Emmermacher:

Das halte ich für weniger schön.

War auch nicht wirklich "ernst" gemeint, da das schnell unpraktisch werden dürfte und genug andere Lösungen gibt.

[Emmermacher 15]

Gibt da auf dem Client nicht Probleme mit dem Zertifikat? Wenn ich ein Zertifikat einsetze, das für eine andere Domain gedacht ist, passt das ja nicht.

[Dukel 457]

Nochmal: Du hast eine Webseite (C:\irgendwas), welche von zwei Namen (www.dom1.de und www.foobar2.de) aufgerufen werden soll?

Die alte Seite ist ohne Hostname im IIS konfiguriert (*:80 und *:443) und beide DNS Namen zeigen auf die selbe IP?

 

Dann musst du nichts(!) machen. Entfernt die neue Seite im IIS.

Wenn du Hostheader nutzt musst du der vorhandenen Seite im IIS einfach ein neues Bindung für die Neue Url _hinzu_fügen.

 

EDIT: Für http musst du nichts machen. Für https brauchst du entweder ein Zertifikat mit beiden Namen oder zwei Bindungs mit dem jeweiligen Domänennamen und dem passenden Zertifikat.

bearbeitet 21. Juni 2018 von Dukel

[Emmermacher 15]

Habe jetzt mal die Bindungen angepasst.

http läuft ohne Hostname, und ist an die IP-Adresse gebunden. Das funktioniert erwartungsgemäß.

Im Firefox bekomme ich mit der neuen Domain die Meldung NS_ERROR_NET_INADEQUATE_SECURITY

Mit der alten Domain kommt das Zertifikat der neuen Domain. Ein iisreset hilft hier auch nicht :(.

 

 

Hier habe ich jeweils https mit dem jeweiligen Hostnamen und der IP-Adresse gebunden. SNI ist abgeschaltet.

[Dukel 457]

Kannst du evtl. ein Zertifikat problemlos erstellen mit beiden DNS Namen?

[Emmermacher 15]

Die Idee ist nicht schlecht. Das kann ich leider nicht. Der IIS ist wohl nur in der Lage ein Zertifikat zu binden.

Vollkommen bescheuert! Apache ist dieser Stelle besser. Leider kann ich das nicht umstellen. Die Anwendung dahinter ist auf IIS angewiesen.

Beim stöbern bin ich noch auf diese Seite gestoßen: https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/

Mehrere Wildcardzertifikate kann der IIS nicht nutzen :(.

 

Trozdem Danke für Eure Hilfe!

 

LG

 

Dirk

[Dukel 457]

Aktiviere einmal SNI.

 

EDIT: Siehe auch ganz am Ende deines Links:

Quote

IIS8 has a new functionality called Server Name Indication (SNI) to overcome this problem. To know more about SNI please follow the following links

 

bearbeitet 21. Juni 2018 von Dukel

[mwiederkehr 384]

Das hat nichts mit Apache oder IIS zu tun: der TLS-Handshake kommt vor dem HTTP-Request. Zum Zeitpunkt der Verbindungsaufnahme weiss der Server noch nicht, welche Domain der Client abrufen will. Deshalb kann er nicht das passende Zertifikat verwenden, sondern immer nur eines pro IP/Port.

 

Und genau deswegen wurde SNI entwickelt: damit schickt der Browser ganz zu Beginn mit, welche Domain er aufrufen will. Du kannst das ruhig aktivieren, alle einigermassen aktuellen Browser unterstützen SNI.