多个 SSL 域到一个 Azure 云服务站点答案

【问题标题】：Multiple SSL domains to one Azure Cloud Service Site多个 SSL 域到一个 Azure 云服务站点
【发布时间】：2013-07-03 12:06:22
【问题描述】：

我们在 ourapp.cloudapp.net 上有一个在 Windows Azure 云服务上运行的 Web 应用程序。我们从 my.ourapp.com 创建了一条 CName 记录以指向此云服务。此域受 SSL 保护。

我们现在要求允许不同的域 (my.secondapp.com) 访问 my.ourapp.com 上的内容强>。

我们可以创建一个新的云部署，但我们不希望额外的成本来托管和维护一个单独的部署。我们还考虑在 443 以外的端口上添加另一个 https 端点，但根据我的阅读，这意味着我们的用户必须使用“:444”后缀浏览我们的网站。

在互联网上进行了一些挖掘之后 - 我们看到了这篇文章：http://www.vic.ms/microsoft/windows-azure/multiples-ssl-certificates-on-windows-azure-cloud-services/。它指出，使用 IIS8 和 SNI，我们可以为一个云服务拥有多个证书。

但是，我们无法让它工作 - 导航到 my.secondapp.com 会发出证书警告，指出提供的证书实际上是为 my.ourapp.com。

这里还有一些提示：

同时出现 my.ourapp.com 和 my.secondapp.com 的证书正确安装（一个通过通常的 Azure 方法，一个通过上面文章中的 SNI 代码）。当我远程进入我们的网络角色并转到 ISS 时 - 它们都出现在“服务器证书”部分中。
不确定这是否会有所不同，但我之前在一些文章中读过：MMC 的“Web 托管”部分没有证书。我手动添加了一个 Snap-In for Certificates 并导入了 my.secondapp.com 证书，但无济于事。
在 IIS 中，我们的服务器下有通常的 Azure Web 角色站点 - 类似于“RD0001683008”。当我查看站点绑定选项时，我看到：

类型 | 主机名 | 端口 | IP

http |（空白）| 80 | 10.26.130.10

https |（空白）| 443 | 10.26.130.10

https | my.secondapp.com | 443 | 10.26.130.10

我尝试在前两行的主机名部分输入 my.ourapp.com，希望它只会获取该主机名而不是 my.secondapp.com，但没有运气。我尝试将 IP 地址的组合更改为“所有未分配”，但同样没有运气。我需要重新启动站点或应用程序池吗？
我删除了 my.secondapp.com 的绑定，并在 IIS 中添加了一个与 my 具有相同详细信息的新站点。 ourapp.com（相同的应用程序池和网络空间）。这确实给了我一个 503 Service Unavailable 这是不同的东西，但我不确定我是否应该继续探索这个选项。
另外需要注意的是 SSL 证书本身。它由第三方生成，与我们拥有的 my.ourapp.com 证书有些不同。通常，我们会得到一个 .crt 文件并将其导出为 .pfx。当我尝试导出新证书时，.pfx 选项显示为灰色，我只能选择 .cer。我做了一些魔术并设法将其导入并以某种方式导出到 pfx，并在此过程中提供了密码。也许第三方应该在此过程的早期使用密码创建证书？此外，第三方提供了三个证书（AddTrustExternalCARoot.crt、my_secondapp_com.crt、PositiveSSLCA2.crt）。我只使用了 my_secondapp_com.crt - 我应该使用其他的还是链接它们？
打开证书本身表明“此证书用于以下目的：”并且具有通常的“确保远程计算机的身份”、“向远程计算机证明您的身份”。但还有另外两行“1.3.6.1.4.1.6449.1.2.2.7”和“2.23.140.1.2.1”不在我们拥有的任何其他证书上。
最后，在 Azure 门户的“证书”部分中查看证书时。新证书的主题有“CN=my.secondapp.com, OU=PositiveSSL, OU=Hosted by Hosting Ireland, OU=Domain Control Validated”，而我们的普通证书有更多选项：“CN=my.ourapp.com , OU=Domain Control Validated - RapidSSL(R), OU=See www.rapidssl.com/resources/cps (c)11, OU=GT1234567, O=my.ourapp.com, C=IE, SERIALNUMBER=sOmESerIalNumBEr”。会不会跟这有关系？

抱歉这个问题太长了 - 我认为提供尽可能多的细节可能会有所帮助。

非常感谢任何帮助。

【问题讨论】：

网站链接失效。
This link 可能是一个合适的替代品，但我不确定，因为我没有看到原件。

标签： ssl azure certificate

【解决方案1】：

以防万一其他人需要帮助，有两个问题：

我使用的 SSL 证书未正确链接。如果您从提供商处获得 3 个证书，则需要使用 IIS 和 MMC 正确安装它们。请参阅here 了解更多信息。
SNI 文章确实有效。对我们来说，问题是绑定顺序。我们最终得到了以下顺序：

如您所见，我们不得不尝试让其工作，但以下绑定意味着两个域将指向同一个 Web 应用程序。

您会注意到我们在 my.ourapp.com 中添加了两次 - 一次启用了 SNI 和一个 IP 地址，另一次没有。 SNI 不适用于 Windows XP 上的 IE - 我们添加了最后一个选项作为默认的非 SNI 绑定，因此我们的主域将始终有效，即使在 IE 和 XP 上也是如此。

希望对某人有所帮助。

【讨论】：