SSLサーバー名の不一致IE11をバイパスする方法

12

アプリがありますが、本当に長い話は、アプリの残りの部分が失敗しないように、このように設定する必要があるということです。

ドメインがあります

https:// server01 / AppNet

IISでは、443バインディングは次の証明書を使用するようにセットアップされます。

CN = server02

私がページをヒットしたとき

https:// server01 / AppNet

SSL警告が表示されます

ここに画像の説明を入力してください

この記事を見つけました

/superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain

ただし、次の部分は避けたいと思います。

「残念ながら、アクセスする他のすべてのサイトのアドレスの不一致についてもブラウザが文句を言うのを防ぐことができます。これは理想的とは言えませんが、IEを使用するときに得られるトレードオフのようなものです。」

私はまた、以下に概説する手順に従いましたが、それでもエラーが発生します

修正1 –証明書をインストールする

「Internet Explorer」アイコンを右クリックして、「管理者として実行」を選択します。

Webサイトにアクセスし、「このWebサイトに進む(推奨されません)」オプションを選択します。

アドレスバーの「証明書エラー」と表示されている場所をクリックし、「証明書を表示」を選択します。

「証明書のインストール…」を選択します。

「次へ」を選択します。

「すべての証明書を次のストアに配置する」オプションを選択します。

「参照…」を選択します。

「信頼されたルート証明機関」を選択し、「OK」を選択します。

セキュリティ警告が表示されたら、「はい」を選択します。

「インポートが成功しました」メッセージで「OK」を選択します

「証明書」ボックスで「OK」を選択します。

これは内部ネットワーク専用です

IISに追加できるものはありますか?

DNSに追加できるものはありますか?

他の回避策はありますか?

ssl  iis  internal-dns 
アンソニー・フォルニート
ソース
ユーザーにserver2 URIにアクセスするように指示できますか?これにより、server1を指すserver2のDNSエントリを追加することができます
yagmoth555
どういう意味か分からない?Server2 URI?
アンソニーフォルニート
2
一致しない証明書を使用して、この明らかに壊れた方法でセットアップする必要がある理由を詳しく説明できますか?それは合理的な出発点のように聞こえません。
ホーカンLindqvist
私は知っている、server01は外部リソースと通信する必要があるレガシーアプリケーションの配列をホストし、それらのリソースはsslのユーザーserver01に使用する必要があります、アプリケーションはserver01でホストされますが、ドメイン名は同じボックスでホストされたserver02にリダイレクトされます、私はCNの一致のためにserver02 / AppNetに移動するときにssl警告を取得しませんが、Server01 / AppNetを押すとCNの不一致のためエラーが発生します。要するに、私ができることはそのためのエラーを無視することです名前/ ssl、
アンソニーフォルニート
1
質問に含まれる引用された回避策については、信頼できない証明書に関する警告の回避策です。サブジェクト名が間違っている証明書のさまざまなシナリオには関係ありません。
ホーカンLindqvist

回答:

14

そのサーバーの証明書を作成するためのアクセス権がある場合は、サーバーの別名である別名を含む証明書を作成することをお勧めします。そのようにして、ブラウザは自動的に正しい名前を解決します。

https://blogs.msdn.microsoft.com/varunm/2013/06/18/bind-multiple-sites-on-same-ip-address-and-port-in-ssl/から

SAN証明書(サブジェクトの別名証明書)

すべてのサイトのドメイン名が同じで、第1レベルのサブドメインが変更された場合、ワイルドカード証明書をセットアップできます。たとえば、www.testserver1.comとしてホストヘッダーを持つサイトとwww.testserver2.comとしてホストヘッダーを持つ別のサイトなど、2つの異なるドメイン名で動作するサイトをセットアップする場合はどうなりますか。この場合、ワイルドカード証明書は役に立ちません。この問題を解決するには、SAN証明書が必要です。

SAN証明書では、単一の証明書で複数のドメイン名を保護できます。たとえば、myserver.comの証明書を取得し、さらにSAN値を追加して、同じ証明書でmyserver.org、myserver.net、さらにはmyserver2.comまたはwww.example.comを保護することができます。

証明書の[サブジェクトの別名]オプションでドメイン名を確認できます

スイートファ
ソース
はい、これは私の最初の考えであり、おそらく唯一の選択肢でした。サーバーの所有者がいないため回避策を見つけられることを望んでいましたが、今日何も見つからない場合は明日これを行い、それが機能するかどうかを確認します
アンソニーフォルニート
すべてのホスト名チェックを無効にすることを除いて、あなたが最後にできることは何もありません。あなたが示したように、これはベストプラクティスではありません。一部のブラウザでは、このセキュリティチェックを永久に無視できますが、メモリからIEはこのオプションを提供しません
-sweetfa
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.