Tenho um cenário em que clientes externos estão recebendo um certificado diferente daquele vinculado ao site IIS. Este é Win2008R2/IIS, na seguinte configuração:
(interwebs) --> (LB) --> (proxy reverso do IIS/DMZ) --> (IIS www hospedando 2 sites separados, cada um com FQDN exclusivo, IP exclusivo e SSL EV exclusivo)
Não há certificado no LB. Não há certificados no proxy rev do IIS (é apenas um redirecionamento HTTP/reescrita de URL)
O servidor IIS possui (2) sites configurados, cada um com seu próprio FQDN exclusivo e certificado SSL EV correspondente vinculado a um IP exclusivo no servidor. Por exemplo
- IP físico = 1.1.1.1
- virtual-ip1 = 1.1.1.2
- virtual-ip2 = 1.1.1.3
- app.abc.com = 1.1.1.2
- app.xyz.com = 1.1.13
Atualmente, os clientes obtêm o certificado correto ao chegar a app.abc.com, mas ao acessar app.xyz.com, recebem um erro de certificado SSL sobre incompatibilidade de nome, onde o FQDN não corresponde ao nome comum. Eu verifiquei quando estava no servidor IIS, o FQDN dos certificados e o nome comum/emitido para corresponder ao que deveria ser.
DE ONDE vem esse certificado? Se eu executasse a captura de pacotes, digamos, no cliente, no servidor IIS, de onde você acha que o certificado será exibido ao filtrar o tráfego SSL?
(desculpas se estiver faltando informação)