外部クライアントが IIS サイトにバインドされている証明書とは異なる証明書を受信するシナリオがあります。これは、次の構成の Win2008R2 / IIS です。
(インターネット) --> (LB) --> (IIS リバース プロキシ/DMZ) --> (それぞれ固有の FQDN、固有の IP、固有の SSL EV を持つ 2 つの個別のサイトをホストする IIS www)
LB には証明書がありません。IIS rev プロキシにも証明書はありません (HTTP リダイレクト / URL 書き換えのみです)
IISサーバーには(2)サイトが設定されており、それぞれに固有のFQDNがあり、対応するSSL EV証明書がサーバー上の固有のIPにバインドされています。例:
- 物理IP = 1.1.1.1
- 仮想IP1 = 1.1.1.2
- 仮想IP2 = 1.1.1.3
- app.abc.com = 1.1.1.2
- app.xyz.com = 1.1.13
現在、クライアントは に到達すると正しい証明書を取得しますapp.abc.comが、 に移動するとapp.xyz.com、FQDN が共通名と一致しない名前の不一致に関する SSL 証明書エラーが発生します。IIS サーバー上で、証明書の FQDN と共通名/発行先が正しいものと一致することを確認しました。
この証明書はどこから来ているのでしょうか? たとえば、クライアント、IIS サーバーでパケット キャプチャを実行する場合、SSL トラフィックをフィルタリングするときに証明書はどこから来ると思いますか?
(情報が不足している場合はお詫び申し上げます)