Как настроить 2 конечные точки HTTPS в одной и той же веб-ролике Azure?

У меня есть приложение в Azure, и я хотел бы настроить несколько доменов с включенным доступом по протоколу HTTPS, чтобы все они указывали на один и тот же экземпляр/веб-роль Azure.

Я слышал, что вы не можете иметь 2 сертификата, привязанных к одному и тому же IP/PORT, но я уверен, что есть способ сделать это.


azure https azure-web-roles
person Fabien Warniez    schedule 02.11.2011    source источник
comment
Вы хотите, чтобы несколько доменов указывали на одно и то же веб-приложение (веб-роль Azure) или вы хотите, чтобы каждый домен имел собственное веб-приложение. Если вы нацелены на последнее, это просто вопрос, связанный с IIS, на который я не знаю ответа, и он не связан с Azure. Если вы ориентируетесь на первое, где каждый домен будет иметь собственное веб-приложение, это должно быть настроено с помощью элемента Sites в файле определения службы.   -  person astaykov    schedule 02.11.2011
comment
Мне нужно первое: несколько доменов с поддержкой HTTPS, которые запускают одно и то же веб-приложение. Я посмотрю на это. Спасибо.   -  person Fabien Warniez    schedule 04.11.2011
comment
Это то (что меня тоже очень расстраивает!), Которое на самом деле сегодня не поддерживается IIS. Я пытался настроить IIS 7.5 с двумя разными веб-сайтами для привязки к HTTPS на одном и том же IP-адресе с разными сертификатами, и это кажется невозможным. Странно правда..   -  person astaykov    schedule 05.11.2011
comment
Только что подтверждено, вы должны либо использовать SSL-сертификат SAN (альтернативное имя субъекта) на конечной точке signle с несколькими заголовками хоста. Или вы должны использовать другой ПОРТ для каждого дополнительного HTTPS-сайта, который вы хотели бы иметь. И это не ограничение Azure, это ограничение природы IIS/HTTPS.   -  person astaykov    schedule 05.11.2011
comment
Если я правильно понимаю, сертификат SAN — это сертификат для нескольких доменов, верно?   -  person Fabien Warniez    schedule 07.11.2011
comment
Верно. Это один SSL-сертификат с несколькими доменными именами. Что отличается от сертификата WildCard, который предназначен для нескольких поддоменов одного домена. И вы можете привязать сертификат SAN к нескольким доменам с одним IP-адресом. Просто вы не можете сделать это из пользовательского интерфейса диспетчера IIS, но когда вы подписываетесь на решение Azure, вам нужно что-то автоматизированное. Вы можете легко автоматизировать привязки конечных точек в задаче StartUp, поскольку я сомневаюсь, что это будет возможно в определении службы.   -  person astaykov    schedule 07.11.2011

Ответы (1)


arrow_upward
1
arrow_downward

Насколько я понимаю, как работает HTTPS, у вас не может быть двух разных сертификатов для одного и того же IP-адреса. (Как IIS узнает, какой сертификат использовать при новом подключении?)

Попробуйте сначала настроить его локально в IIS. Если вам удастся заставить это работать там, вы, вероятно, сможете сделать это и в Windows Azure (но, пожалуйста, дайте мне знать, как!).

person user94559    schedule 03.11.2011
comment
Как IIS узнает, какой сертификат использовать при поступлении нового подключения? Точно так же, как и для веб-приложений, в зависимости от запрошенного домена? Я думал, что это может работать так же. Спасибо за ваш ответ в любом случае. - person Fabien Warniez; 04.11.2011
comment
Нет, сегодня IIS не может этого сделать. (По крайней мере, я так понимаю.) Имя хоста неизвестно до тех пор, пока не будет установлено безопасное соединение. Если IIS может это сделать, то и Windows Azure сможет. - person user94559; 05.11.2011
comment
А как же СНИ? Возможно ли что-то на Azure? en.wikipedia.org/wiki/Server_Name_Indication - person Fabien Warniez; 07.11.2011
comment
Я не знаю. Опять же, если IIS может это сделать, Windows Azure может это сделать. - person user94559; 07.11.2011
comment
IIS может выполнять SNI, но для установки имен хостов для каждого сайта требуется командная строка. Также требуется сертификат UC, который не идеален, поскольку каждое доменное имя в сертификате содержится в одном и том же сертификате. Командная строка (запускается из c:\windows\systtem32\inetsrv) для установки заголовка хоста SSL: appcmd set site /site.name:"Some Site Name" /+bindings.[protocol='https',bindinginformation='*:443:www.SomeDomainName.com'] - person Tyler Brinks; 08.12.2011
comment
@TylerBrinks, с сертификатом UC, не исчезнет ли необходимость в SNI? Если есть только один сертификат, нет необходимости указывать имя сервера, не так ли? - person bzlm; 14.10.2013