你遇到的是在同一个IP和端口上为多个域名配置HTTPS时的经典问题,其根本原因在于”没有为HTTPS绑定启用服务器名称指示(SNI)功能”。
问题分析:为什么会有“证书混乱”?
当HTTPS请求来临时,它的过程是“先握手,后传送数据”。这意味着,在IIS决定用哪个SSL证书解密请求时,它还看不到希望访问的域名信息。
缺少SNI时:服务器无法判断该使用哪个证书,它只会选择第一个绑定到该IP和端口的SSL证书来回应所有请求,这就导致了证书“串门”。如果强制给同一IP和端口绑定不同证书,IIS甚至可能拒绝保存配置。
启用SNI后:SNI扩展技术允许TLS握手阶段就告知服务器目标域名。这样,IIS就能在解密前就找到对应证书,完美解决了“同一IP和端口多证书”的问题。
解决方案:如何检查和修复?
针对这个问题的根本原因,可以通过以下方案来彻底解决。核心线索是检查网站绑定中,HTTPS主机名设置是否为灰色(无法编辑),这通常是未启用SNI的直接表现。
方案一:正确启用SNI(推荐)
这是最推荐的标准化解决方案,前提是你正在使用IIS 8及以上版本,这对于Server 2012之后的系统是关键。
- 进入绑定管理:打开IIS管理器,找到并选中目标网站,在右侧“操作”栏点击“绑定”。
- 检查和编辑:在绑定列表中选中已有的`https`记录,点击“编辑”。或新建一个 `https` 绑定。
- 核心操作:在弹窗中,务必勾选“需要服务器名称指示(SNI)”复选框,并选中该域名对应的SSL证书。此操作能保证 `hostname` 支持SNI且证书匹配。
- 填写主机名:在“主机名”字段中,填写网站对应的完整域名(如 `www.yourdomain.com`)。
应用并验证:点击“确定”保存。重要:对所有绑定了独立SSL证书的网站重复以上步骤,确保它们都启用了SNI。
方案二:检查并清理无效证书绑定(进阶)
如果SNI检查无误但问题依旧,可能存在旧证书或无效绑定干扰。可以按照以下步骤检查:
- 清理MMC证书:在管理控制台(MMC)的“计算机账户”证书管理单元中,找到“个人”证书存储,确保此处的证书都是当前需要且有效的,清理所有过期或不再使用的证书。
- 检查系统级绑定 (netsh):以管理员身份运行命令提示符。执行 `netsh http show sslcert`,查看所有系统级的SSL绑定。
- 关注核心条目:特别寻找那些不包含特定主机名、格式为`IP:Port`(如 `0.0.0.0:443`)的绑定。它们的绑定主机名字段应为空白。
- 清理冲突绑定:如果看到这种基于IP的绑定,说明存在旧配置。务必记录对应的 `IP:Port` 值,然后使用命令 `netsh http delete sslcert ipport=<冲突的IP地址>:443`(如 `netsh http delete sslcert ipport=0.0.0.0:443`)将其删除。执行命令后可以使用 `iisreset` 进行重启。
方案三:备选方案(不推荐)
如果网络环境特殊必须兼容旧系统,只能考虑以下替代方法。
* 绑定不同IP地址:为每个网站分配独立的IP地址,这是最兼容的方法。
* 绑定不同端口:为每个HTTPS网站设置不同的端口(如444, 445等),但访问时必须指定端口号。
* 使用通配符或多域名证书:为所有子域名申请一个通配符证书(如 `*.example.com`),或为所有不同域名申请一个多域名(SAN)证书。它能被所有相关网站共用,无需额外配置,但证书更新时所有网站都会受影响。
其他可能导致证书混乱的原因
* 浏览器缓存:浏览器可能会缓存一次错误的SSL证书,即使你已修复,有时也需手动清除缓存。
* 通配符证书优先级冲突:部分旧版IIS可能错误地将优先级过高的“全局”通配符证书提供给其他站点。可尝试调整绑定顺序并重启。
* 客户端不支持 SNI:启用SNI后,如果客户端(如旧版Android或IE浏览器)不支持SNI,也会收到错误的证书。建议对使用特殊设备的内部网络进行排查。
* 应用程序/代码层面的转发:检查是否有URL重写(URL Rewrite)等规则将请求非预期地转发给了其他网站。
