IIS - Server Name Indication (SNI)

Server Name Indication is een uitbreiding van SSL (Secure Socket Layer) en TLS die aan het begin van het handshaking proces aangeeft met welke hostname de client verbinding zoekt. Hierdoor kan de server meerdere certificaten presenteren, en dus aan één IP-adres en poort (poort 443) verschillende websites met SSL beveiliging verbinden. Door gebruik van SNI vervalt de noodzaak voor het gebruik van aparte IP-adressen voor iedere website met SSL beveiliging op een webserver.

SNI (Server Name Indication) wordt ondersteund vanaf IIS 8.0, en is dus niet beschikbaar in IIS 6.0, 7.0 of 7.5. Windows Server 2012 beschikt over IIS 8.0.

SNI instellen

  1. Maak voor elke website die u wilt beveiligen een CSR aan met behulp van deze handleiding.
  2. Klik in IIS Manager in het Actions paneel op Complete Certificate Request.
    Kies bij Select a certificate store for the new certificate: voor Web Hosting. Doe dit voor elke aanvraag die u wilt voltooien.

    IIS - Server Name Indication

  3. Voeg nu een website toe. Klik in IIS Manager op Add Website en configureer deze zoals hieronder aangegeven.

    IIS - Server Name Indication
  4. De Site name en de Host name moeten dezelfde naam hebben als de common name in het certificaat. U kunt het beste een ​​service-account gebruiken om de Application pool uit te voeren. Het Physical path moet naar een ander station wijzen dan die waarop het besturingssysteem staat.

  5. Kies onder Binding bij Type voor https en zorg ervoor dat de Host name precies hetzelfde is als de common name, kies het bijbehorende certificaat in de sectie SSL-certificaat.

  6. Vink Require Server Name Indication aan. Let op: Vergeet niet om dit voor beide websites te doen.

    IIS - Server Name Indication

  7. Om de instellingen te testen kunt u 2 verschillende index.html bestanden in elke rootmap van de websites plaatsen, waarbij elk de host name toont. Een belangrijk onderdeel van de installatie is het juist configureren van de DNS. Stel twee CNAME records in die verwijzen naar de hostname van de server waar de websites op draaien.

    IIS - Server Name Indication

 

 

 

Multidomein certificaat met SNI

Om te voorkomen dat clients zonder SNI ondersteuning een waarschuwing of foutmelding te zien krijgen kunt u gebruik maken van een combinatie van SNI en een multidomein certificaat.
Hierbij is het van belang dat er een multidomein certificaat wordt ingezet die alle domeinnamen bevat van de verschillende SNI sites. Dit certificaat wijst u vervolgens toe aan een aparte website. Naast de SNI websites maakt u hiertoe een website aan met een HTTPS binding op hetzelfde IP-adres als de SNI sites, maar zonder SNI af te dwingen en zonder een hostname op te geven. Aan deze binding wijst u vervolgens het multidomein certificaat toe.
IIS zal vervolgens dit certificaat tonen aan clients die geen SNI ondersteunen, terwijl wel de content wordt weergegeven van de opgevraagde SNI site.

point up