IIS 8 SSL が Windows 2012 Core で動作しなくなる

IIS 8 SSL が Windows 2012 Core で動作しなくなる

IIS サーバーが一晩で SSL の提供を停止する既知のバグや原因はありますか? 証明書はしばらく変更されておらず、まだ有効です。同じ証明書が、同様に構成された他のサーバーでも機能します。

TCP ポート 443 でリッスンしていますが、そのポートで接続を確立できません。この問題を修正するためのパッチは事後までインストールされていませんでした。

パケットキャプチャ

答え1

これは、何らかの理由で削除されたレジストリ エントリであることが判明しました。詳細をいくつか提供できますが、質問があると思いますが、環境について詳細に説明しなければ、すべての質問に回答することはできません。

いずれにせよ、修正の詳細を説明した記事がこちらにあります:

http://blogs.msdn.com/b/kaushal/archive/2012/09/04/server-name-indication-sni-in-iis-8-windows-server-2012.aspx

答え2

特定の問題のあるサーバーへのすべての SSL 接続 (すべてのクライアントから) が失敗していることを確認しましたか? どのサーバーに接続しているかに関係なく、特定のクライアントでのみ問題が発生している可能性はありますか? そうであれば、クライアントが実行する証明書検証手順に問題がある可能性があります。おそらく、特定のクライアントのみがこの検証の問題を経験しており、他のクライアントは経験していない可能性があります。IE からブラウズするときに、クライアント側で警告が表示されますか? (つまり、「この Web サイトのセキュリティ証明書に問題があります。」)?

あなたはサーティルコマンドと -verify オプションを使用して、検証が問題の一部であるかどうかを調査します。まず、問題が発生しているクライアントからサイトを参照し、問題の証明書の公開キーを保存します (画像を参照)。次に、certutil コマンドを呼び出します。

certutil -verify bad.cer

-verify からの出力には大量のテキストが含まれます。最後に、わかりやすいメッセージ (例: 信頼されていないルートに対して検証) を含む要約が表示されます。必要に応じて、出力の解釈に関するヘルプを返信してください。

Certutil -verify の例

証明書保存

関連情報