Meu VPS contém cerca de uma dúzia de sites, com vários certificados SSL, incluindo o seguinte.
- *.railtrax.com
- *.insiderarticles.com
Atualmente, todos os sites * .railtrax.com estão funcionando bem. Mas o site * .insiderarticles.com (só tenho um) está me dando um erro no navegador (observe o último parágrafo).
Sua conexão não é privada
Os invasores podem estar tentando roubar suas informações do insiderarticles.com (por exemplo, senhas, mensagens ou cartões de crédito).
NET::ERR_CERT_COMMON_NAME_INVALID
Este servidor não conseguiu provar que é insiderarticles.com; seu certificado de segurança é de *.railtrax.com. Isso pode ser causado por uma configuração incorreta ou um invasor interceptando sua conexão.
Como você pode ver, o certificado para insiderarticles.com diz que foi emitido para * .railtrax.com .
Certificado Insiderarticles.com
Mas eu tenho o certificado correto selecionado.
Insiderarticles.com Diálogo Editar Ligações
Se eu usar o Jexus para executar diagnósticos de vinculação, recebo os seguintes erros:
BINDING: http 74.208.136.116:80:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.
BINDING: http 74.208.136.116:80:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.
BINDING: https 74.208.136.116:443:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.
BINDING: https 74.208.136.116:443:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.
E se eu executar o comando sugerido, recebo o seguinte.
Mas isso não é útil para mim.
Tudo o mais sobre os certificados parece válido. Instalei o certificado para * .insiderarticles.com e estava funcionando bem. Depois de instalar o certificado para *.railtrax.com, é mais provável que o insiderarticles.com tenha parado de funcionar.
Isso pode ter alguma coisa a ver com a caixa de seleção Exigir indicação do nome do servidor ? Esta caixa de seleção foi marcada para insiderarticles.com e desmarcada para todos os sites * .railtrax.com . Tentei verificar esta opção para todos os sites * .railtrax.com , mas não pareceu fazer diferença.
Alguém pode recomendar os próximos passos para solucionar isso?
Originalmente, você só podia usar um único certificado para um par IP:porta IIS. Isso ocorreu porque o cabeçalho do host não é visível durante o handshake SSL quando o IIS escolhe o certificado a ser usado.
Como solução para esta limitação foi introduzido o SNI . Ele está disponível no IIS 8 e posterior e é suportado por navegadores modernos (a lista está aqui ). Você deve habilitar o SNI para todos os sites, mas talvez queira desativá-lo para um site que seria usado por navegadores legados que não suportam SNI. Esses navegadores herdados ainda receberiam um erro de incompatibilidade de nome de certificado SSL.
Portanto, suas opções são uma das seguintes:
Agora estou pensando que o Exigir indicação de nome do servidor é o problema.
Eu indiquei que tentei verificar essa opção para todos os meus sites railtrax.com e que isso não fez diferença. Olhando novamente hoje, parece que eu perdi um. Depois de verificar isso, agora parece estar funcionando.
É possível que algo mais esteja em jogo aqui. Mas até agora parece que esta é a resposta. Estou um pouco surpreso que mais pessoas aqui não parecem familiarizadas com isso.
Eu tive o mesmo problema. Mas no meu caso um dos sites só tinha ligações para a porta 80. Eu tive que adicionar uma ligação HTTPS e então selecionar SNI.