IIS6与IIS7在编程实现HTTPS绑定时的细微差别

本文章其实最主要信息是:

问题出在那个小小的*号上——IIS6中不支持通配符,第一部分为空时表示(All Unsigned),而IIS7中同时支持空或通配符的写法,如果为空则自动转为*:443:,我们将调用行改为:
AddHttpsBinding(":443:", "MY", hash);
后,问题解决。

文章转自:http://linwx1978.blog.163.com/blog/static/1504106920111281434624/

最近刚刚解决了一个困扰了很久的问题,发出来大家共享一下。
问题很简单,就是我们在做一个自动部署网站的程序,需要同时支持在IIS6与IIS7实现HTTPS,也就是要编程实现增加HTTPS绑定,开始的时候我的代码是这样的:

private void WriteBinaryArrayToDirectoryEntry(PropertyValueCollection entry, byte[] data)
        {
            string[] arrStr = new string[data.Length];
            for (int i = 0; i < data.Length; i++)
            {
                arrStr[i] = String.Format("{0:x2}", data[i]);
            }
            object[] arrObj = new object[arrStr.Length];
            arrStr.CopyTo(arrObj, 0);

entry.Clear();
            entry.Add(arrObj);
        }

public void AddHttpsBinding(string binding, string nameStore, byte[] hash)
        {
            DirectoryEntry entry = new DirectoryEntry("IIS://localhost/W3SVC/1");//指向Default Web Site
            entry.Properties[”SecureBindings"].Clear();
            entry.Properties["SecureBindings"].Add(binding);
            WriteBinaryArrayToDirectoryEntry(entry.Properties["SSLCertHash"], hash);

entry.CommitChanges();
        }
其中标出来的那一行需要注意,如果需要指向非缺省的网站就可能需要修改,当然,这是题外话。
调用如下:
AddHttpsBinding("*:443:", "MY", hash);
*:443:的意思是指定443端口,任意IP(All Unassigned IP)。

结果,在IIS7上运行良好,在IIS6及IIS5上就遇到了很多问题,HTTPS无法访问。

首先我们检查了HTTPS绑定,结果发现证书绑定失败。用Metabase Explorer检查/LM/W3SVC/1下应该有三项与HTTPS绑定有关的条目,分别是:
SecureBindings,指定端口、IP及HEADER信息。
SSLCertHash,指定目标证书的哈希值。
SSLStoreName,指定目标证书所在的目录。
绑定成功的情况下,这三个条目都应该出现,并且填入我们指定的值,但上述程序在IIS6上运行之后,只有前两个条目而没有SSLStoreName,导致HTTPS服务无法找到目标证书。
原因是,在IIS6中,必需设定SSLStoreName,而且还必需在设定SSLCertHash之前。但在IIS7中,SSLStoreName由系统自动设定,如果程序试图自行设定,系统会抛出异常:“A specified logon session does not exist. It may already have been terminated. (Exception from HRESULT: 0x80070520)”。

结果,我们只好把程序改成这样:
        public void AddHttpsBinding(string binding, string nameStore, byte[] hash)
        {
            DirectoryEntry entry = new DirectoryEntry("IIS://localhost/W3SVC/1");
            entry.Properties[”SecureBindings"].Clear();
            entry.Properties[”SecureBindings"]Add(binding);
            WriteBinaryArrayToDirectoryEntry(entry.Properties["SSLCertHash"], hash);

entry.CommitChanges();

if (TryGetValue("IIS://localhost/W3SVC/1", "SSLStoreName") == "")
            {
                entry.Properties["SSLStoreName"].Clear();
                entry.Properties["SSLStoreName"].Add(nameStore);
                WriteBinaryArrayToDirectoryEntry(entry.Properties["SSLCertHash"], hash);
                entry.CommitChanges();
            }
        }
加上了蓝色的部分,在前面的设定结束之后,测试SSLStoreName是否为空,如果为空,则依次设定SSLStoreName和SSLCertHash。在IIS6和IIS7上测试均成功。

然后我们就遇到了第二个问题:现在IIS6上绑定是成功的,从IIS管理器上也可以看到绑定的证书信息了,但仍然无法用HTTPS访问,下载了一个微软的SSL工具SSL Diagnostics测试了一下,说绑定的IP与SSL的IP不符,可能有问题。于是我们打开IIS管理器,在网站上点击右键,到属性->Web Site页,点击Advanced,在Multiple SSL identities for this Web Site一栏中,发现IP Address一栏写的居然是255.255.255.255,果然有问题!手动将其改为(All Unsigned)之后,问题解决。

使用Metabase Explorer检查,发现SecureBindings中写的是:443:,也就是说,问题出在那个小小的*号上——IIS6中不支持通配符,第一部分为空时表示(All Unsigned),而IIS7中同时支持空或通配符的写法,如果为空则自动转为*:443:,我们将调用行改为:
AddHttpsBinding(":443:", "MY", hash);
后,问题解决。

时间: 2024-08-09 00:19:41

IIS6与IIS7在编程实现HTTPS绑定时的细微差别的相关文章

IIS6.0 IIS7.5应用程序池自动停止的解决方法

前边提到由win2003升级到win2008 server r2 64位系统,然后用了几个小时配置IIS7.5+PHP+MYSQL等的环境,先是遇到IIS7.5下PHP访问慢的问题,解决之后又出了新的问题,真是折腾啊!在日志中发现IIS7.5的应用程序池自动停止,同时访问网站提示:HTTP Error 503,The service is unavailable.. 的错误,搜遍整个互联网总算是解决了问题.小编也整理了IIS6及IIS7.5遇到此类问题汇总解决方法,欢迎大家尝试. 关于IIS6的

WCF自寄宿实现Https绑定

一.WCF配置 1 Address 将服务端发布地址和客户端访问地址都配置为https开始的安全地址.参考如下. <add key="SrvUrl" value="https://127.0.0.1:8001/Service"/> 2 Bingding 为适应WCF自寄宿的模式,应采用WSHttpBinding作为绑定模式,并选择Transport安全模式,此模式下支持由服务器SSL证书保证的信息完整性.保密性.服务端身份验证(不支持客户端身份验证,如甲

EzHttp 使用Https协议时证书如何部署

今天为EzHttp增加了https支持, EzHttp介绍见这里:使用EzHttp框架 开发基于HTTP协议的CS轻应用 服务端启动时会创建自签名证书,并将其绑定到启动参数url对应的端口上. 服务端导出的cer文件(证书的公钥部分)位于服务端程序运行目录下. 复制该文件到客户端目录并调用指定证书文件的初始化函数即可. 问:为什么需要手动部署而不使用客户端连接服务端自动下载? 答:因为是自签名证书,通过标准http协议传输有被劫持的风险. 如12306这种,中间人可以伪造一个名称和创建时间一样的

如何监听第三方应用程序(SOAP or RESTful 客户端)访问HTTPS网站时的数据?

随着互联网的应用越来越多,在我们的日常开发和调试当中(比如调试SOAP和RESTFul的时候),我们常常需要访问用第三方的工具访问HTTPS的网站,为了简化描述,本文使用IE浏览器访问Google 提供的https://www.googleapis.com/discovery/v1/apis RESTful服务为例,注意这个是基于https协议的访问,如果用第三方的嗅探工具,比如wiresharp,即使我们能把http的数据包抓到,显示出来的内容也是乱码,因为传送的内容经过了加密,而加密的私钥就

模型绑定时对客户端传过来的数据做处理的几种方式

有时我们从客户端获取来的数据.不一定就是我们先要的,需要做一些处理 .这里我们以一个model的属性需要做处理为例子. 这里说5种解决方法. model: public class MyModel { public string Encrypt { get; set; } public string Lala { get; set; } } Controller: public class HomeController : Controller { public void Test(MyMode

Shell编程 之 变量设置时的不同模式

未命名 #!/bin/bash#======================================================#文件:var_test.sh#作者:daojoo, [email protected]#作用:测试变量设置时的不同模式#版本:1.0#日期:2012年03月09日 星期五 10时41分39秒#======================================================   #---------------变量设置时的不同模式

C++MFC编程笔记day04 运行时类信息和窗口的动态、静态切分

运行时类信息 程序在运行时,获取对象类的信息及类的继承关系 实现: 1.定义类继承自CObject类. 2.类内声明宏DECLARE_DYNAMIC(),类外实现宏IMPLEMENT_DYNAMIC() 3.使用: BOOL IsKindOf(CRuntimeClass* pClass)//对象是否属于某个类 CRuntimeClass* GetRuntimeClass( );//获取对象运行时类信息,经常使用RUNTIME_CLASS(类名)代替. 示例: #include "stdafx.h

HTTPS连接时出现PKIX path building failed问题

第一种方法:进行安全证书的下载及导入-----------传统办法,优点是安全性高,缺点是网站若更换证书,还得重新下载和导入,不够灵活 sudo keytool -import -noprompt -trustcacerts -alias CTSite -file /Users/zhanghao/Desktop/sslvpn.cer -keystore /Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home/jre/lib

我们在部署 HTTPS 网站时,该如何选择SSL证书?

我们在部署 HTTPS 网站时,该如何选择SSL证书? 首次部署HTTPS网站的同学对选择什么样的SSL证书多多少少都有点迷茫. 这里考虑的因素确实不少:是否支持多域名.泛域名,价格,信息泄露的保额,国内的厂商还是国外的,哪家最值得信赖,甚至是证书在浏览器上显示的小图标样式等等. 我购买过多家证书厂商付费和免费的SSL证书,并部署到多个不同的网站上.我在这篇文章中总结下,希望对大家有所帮助. 选择SSL证书首先得解决第一个问题,选择什么类型的SSL证书? SSL证书类型的选择 通常来说,SSL证