現在、SSLの同じドメインに2つのサブドメインが必要です。
両方のサブドメイン(wwwとアフィリエイト)は同じIISサーバー上にあり、同じIPであり、それぞれがホストヘッダー値(www.mydomain.comとaffiliate.mydomain.com)を指定しています。
デフォルトの最初のサブドメイン(www)は、SSLの有無にかかわらずうまく機能します。
2番目のサブドメインはHTTPで完全に機能します。
問題は、アフィリエイトサブドメインのSSL証明書を購入してインストールしたばかりで、https://affiliate.mydomain.comにアクセスすると、 http://www.mydomain.comにリダイレクトされることです。
SSLのホストヘッダー値を指定できないことに問題があると思いますか?(私が通常ホストヘッダー値を設定するダイアログには、SSL専用の下部にそのオプションがありません)。
これについて私は何ができますか?各サブドメインを別々のIPに含める必要がありますか?これはまったく実行できませんか?
ありがとう!ダニエル
「SSLのホストヘッダー値を指定できないことに問題があると思います」
あなたは正しいと思いました。2つのIPアドレスが必要になります。
この問題は、HTTPSが機能する方法の基本です。
仮想ホスティングは、HTTP/1.1で導入された「Host」ヘッダーに依存しています。これはHTTPプロトコルの一部ですが、SSLプロトコルの観点からは、HTTP層は「アプリケーションデータ」であり、SSLハンドシェイクが完了するまで送信できません。
ただし、サーバー証明書はハンドシェイク中に提示されます。HTTPサーバーはまだ「Host」ヘッダーを認識していないため、送信する証明書を認識していません。個別のIPアドレスを使用すると、SSLの下のIP層に表示されるため機能します。
更新:クライアントがハンドシェイク中に使用する予定のサーバーを示すことができる新しいTLS拡張機能があります。詳細については、dlongleyの回答を参照してください。
実行しているWebサーバーはわかりませんが、Windows Server2003のIIS6では、SSLサイトのホストヘッダーを使用できるため、SSLサイトを同じIPアドレスに配置できます。
編集:これは、証明書がワイルドカード証明書である場合にのみ機能します。それ以外の場合、サブドメイン「アフィリエイト」はサブドメイン「www」と同じ証明書を使用しようとし、訪問者は警告を受け取ります。
これはおそらく役に立たないでしょうが、うまくいけばそれは有益です。
一部のTLSクライアントが使用するTLSプロトコルには、Server Name Indication(SNI)と呼ばれる拡張機能があります。この拡張機能により、TLSクライアントは接続しようとしているサーバーのホスト名を指定できます。したがって、クライアントが接続してTLSプロトコル内でClientHelloメッセージを送信すると、サーバーは応答する証明書を決定できます。これにより、単一のIPで仮想SSL/TLSサーバーが可能になります。
OpenSSLには、クライアントが送信したホスト名を読み取って適切な証明書のフェッチを処理できるコールバック関数が用意されていますが、残念ながら、IISでこれが可能かどうかはわかりません。
同じドメインの2つのサブドメインが必要な特定の状況では、ワイルドカード証明書が機能する必要があります...私は3年間、数十のサイトでワイルドカード証明書を使用していますが、エラーを報告した顧客はいません
証明書が「www」用であることを示す何かがある場合、その証明書は真のワイルドカード証明書ではないか、何らかのブラウザキャッシュの問題が発生しているか、証明書の2つのコピーを使用していて、そのうちの1つだけを更新します。または、サーバーの再起動を忘れた、または..私はしません:)