У меня есть сценарий, в котором внешние клиенты получают сертификат, отличный от того, который привязан к сайту IIS. Это Win2008R2 / IIS в следующей конфигурации:
(interwebs) -- > (LB) --> (IIS reverse-proxy/DMZ) --> (IIS www хостинг 2 отдельных сайтов, каждый с уникальным FQDN, уникальным IP и уникальным SSL EV)
На LB нет сертификата. На IIS rev proxy нет сертификатов (это просто HTTP-перенаправление / URL-перезапись)
На сервере IIS настроено (2) сайта, каждый из которых имеет собственное уникальное полное доменное имя (FQDN) и соответствующий сертификат SSL EV, привязанный к уникальному IP-адресу на сервере. Например:
- физический IP = 1.1.1.1
- виртуальный-ip1 = 1.1.1.2
- виртуальный-ip2 = 1.1.1.3
- app.abc.com = 1.1.1.2
- app.xyz.com = 1.1.13
В настоящее время клиенты получают правильный сертификат при достижении app.abc.com, но при переходе на app.xyz.com, они получают ошибку сертификата SSL о несоответствии имени, где FQDN не соответствует общему имени. Я проверил, когда на сервере IIS сертификаты FQDN и общее имя/выданный соответствуют тому, что должно быть.
ОТКУДА этот сертификат? Если бы я запустил захват пакетов, скажем, на клиенте, сервере IIS, откуда, по-вашему, будет отображаться сертификат при фильтрации трафика SSL?
(извините, если эта информация отсутствует)