IIS版本多站點(diǎn)測(cè)試

時(shí)間：2023-07-02 12:51:01 | 來源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-07-02 12:51:01 來源：網(wǎng)站運(yùn)營(yíng)

IIS版本多站點(diǎn)測(cè)試： 本測(cè)試主要是測(cè)試IIS版本號(hào)，搭建多站點(diǎn)進(jìn)行部署ssl證書的支持與否，進(jìn)行情況描述。由于部署ssl證書，我們?cè)诜?wù)器上共用一個(gè)端口（443）訪問；但前提下要先在本服務(wù)器的公網(wǎng)IP管理后臺(tái)進(jìn)行解析，綁定需要部署的域名，確保部署的域名能在外網(wǎng)訪問。

一：針對(duì)Windows server 2012 R2，IIS8.5版本

測(cè)試系統(tǒng)：Windows server 2012 R2

測(cè)試環(huán)境：IIS8.5 （系統(tǒng)自帶版本號(hào)）

網(wǎng)站：搭建多站點(diǎn)

ssl證書類型：通配符證書與單域名證書共存

測(cè)試結(jié)果：IIS8.5支持多站點(diǎn)部署，支持部署通配符證書與單域名證書共存。

主要的配置示例如下：

網(wǎng)站右鍵添加網(wǎng)址，新建站點(diǎn)，填寫如上，按確定。

然后根據(jù)數(shù)安時(shí)代官網(wǎng)文檔進(jìn)行證書的導(dǎo)入，參考鏈接：https://www.trustauth.cn/ssl-guide/634.html

打開站點(diǎn)，點(diǎn)擊右邊的綁定。

點(diǎn)擊添加，填寫對(duì)應(yīng)的信息，導(dǎo)入剛才對(duì)應(yīng)的站點(diǎn)證書，然后點(diǎn)擊確定，關(guān)閉。

重新啟動(dòng)站點(diǎn)，進(jìn)行訪問嘗試。

二：針對(duì)Windows server 2008 R2，IIS7.5版本

測(cè)試系統(tǒng)：Windows server 2008 R2

測(cè)試環(huán)境：IIS7.5 （系統(tǒng)自帶版本號(hào)）

網(wǎng)站：搭建多站點(diǎn)

ssl證書類型：通配符證書與單域名證書共存

測(cè)試結(jié)果：IIS7.5支持多站點(diǎn)部署，支持部署通配符證書，但與單域名證書共存，會(huì)出現(xiàn)證書混亂的情況。

主要配置如下（部署通配符證書）：

點(diǎn)擊網(wǎng)站右鍵-添加網(wǎng)址，以此為例創(chuàng)建站點(diǎn)。

然后根據(jù)數(shù)安時(shí)代官網(wǎng)文檔進(jìn)行證書的導(dǎo)入，參考鏈接：https://www.trustauth.cn/ssl-guide/634.html

點(diǎn)擊域名-右邊點(diǎn)擊綁定-添加，選擇https-主機(jī)名填寫部署的域名-然后選擇導(dǎo)入的通配符證書，點(diǎn)擊確定關(guān)閉。

第二個(gè)站點(diǎn)部署如上一樣示例：

點(diǎn)擊網(wǎng)站右鍵-添加網(wǎng)址，以此為例創(chuàng)建站點(diǎn)。

點(diǎn)擊域名-右邊點(diǎn)擊綁定-添加，選擇https-主機(jī)名填寫部署的域名-然后選擇導(dǎo)入的通配符證書，點(diǎn)擊確定關(guān)閉。

若要支持iis7.5部署多張證書并存，有如下的嘗試，解決方法如下：

1、解決方案將每個(gè)https站點(diǎn)綁定到不同的端口。但是這樣的話客戶端瀏覽網(wǎng)頁(yè)時(shí)必須手動(dòng)指定端口，例如 https：//http://www.domain.com:444

2、解決方案是為每個(gè)站點(diǎn)分配一個(gè)獨(dú)立的ip，這樣沖突就解決了，甚至主機(jī)頭也不用添加了。

3、解決方案是使用通配符證書。我們采用通配符證書頒發(fā)給.http://domain.com，這樣任何訪問該domain的請(qǐng)求均可以通過該證書解密，證書匹配錯(cuò)誤也就不復(fù)存在了。

4、解決方案是升級(jí)為IIS8，IIS8中添加的對(duì)于SNI(Server Name Indication)的支持，服務(wù)器可以從請(qǐng)求中提取出相應(yīng)的主機(jī)頭從而找到相應(yīng)的證書。

方案分析：

方案1、明顯不太現(xiàn)實(shí)，我們不能讓用戶在訪問我們的網(wǎng)站時(shí)還要指定端口號(hào)，一來不太好記，二來用戶體驗(yàn)不好；

方案2、雖然可行，但假如是固定IP，沒辦法再給服務(wù)器再分配一個(gè)IP，故該方案不適合固定的場(chǎng)景；

方案3、雖然可行，但必須要購(gòu)買與部署通配型SSL證書，故不適用于除主域下所有的二級(jí)域名，若再有需求搭建新的站點(diǎn)使用單域名證書，是不支持的，會(huì)造成域名訪問時(shí)候出現(xiàn)證書混亂，提示頁(yè)面不安全的提示。

方案4、我們使用的服務(wù)器安裝的操作系統(tǒng)是Windows Server 2012 R2，而該系統(tǒng)預(yù)裝的就是IIS8，不是IIS8的可以自行升級(jí)為IIS8，在IIS8中，因?yàn)樘砑恿藢?duì)SNI的支持（SNI (Server Name Indication)是用來改善服務(wù)器與客戶端 SSL (Secure Socket Layer)和 TLS (Transport Layer Security) 的一個(gè)擴(kuò)展。主要解決一臺(tái)服務(wù)器只能使用一個(gè)證書(一個(gè)域名)的缺點(diǎn)，隨著服務(wù)器對(duì)虛擬主機(jī)的支持，一個(gè)服務(wù)器上可以為多個(gè)域名提供服務(wù)，因此SNI必須得到支持才能滿足需求。