Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel helpt u bij het oplossen van het probleem waarbij HTTPS-verbindingen mislukken en SSL-bindingen worden verwijderd voor een website in IIS (Internet Information Services) 7.0 en 7.5.
Oorspronkelijke productversie: Internet Information Services
Oorspronkelijk KB-nummer: 2025598
Symptomen
Bekijk het volgende scenario:
- U hebt een webtoepassing die wordt uitgevoerd op Internet IIS 7.0 of hoger die is geconfigureerd met een SSL-binding.
- Af en toe mislukken verbindingen met de website via HTTPS.
- Gebruikers hebben nog steeds toegang tot de site via HTTP, tenzij de site is geconfigureerd om SSL-verbindingen te vereisen.
Wanneer het probleem zich voordoet, zien gebruikers die via HTTPS naar de website willen bladeren mogelijk waarschuwingsberichten waarin staat dat het SSL-certificaat is verlopen of nog niet geldig is of dat de naam van de website onjuist is. Als een sitebeheerder iis-beheer opent om de SSL-instellingen van de site weer te geven, kan het zijn dat de SSL-bindingen voor de website zijn verwijderd of zijn vervangen door ongeldige certificaatbindingsgegevens. Ten slotte wordt een gebeurtenis die vergelijkbaar is met het volgende vastgelegd in het gebeurtenislogboek van het systeem:
Logboeknaam: Systeem
Bron: Microsoft-Windows-HttpEvent
Datum: 31-31-2010 2:43:28 pm
Gebeurtenis-id: 15300
Taakcategorie: geen
Niveau: waarschuwing
Trefwoorden: Klassiek
Gebruiker: n.v.t.
Computer: IISServer
Beschrijving:
SSL-certificaatinstellingen verwijderd voor poort: x.x.x.x:443
Oorzaak
De SSL-binding voor de website is verwijderd en niet vervangen, of is verwijderd en vervangen door ongeldige certificaatgegevens. Het probleem treedt op omdat een verouderde ssl-certificaathasheigenschap de huidige SSL-binding verstoort, waardoor de juiste binding wordt verwijderd.
Oplossing
Zoek de volgende eigenschap in de <CustomMetaData> sectie van het bestand applicationHost.config en verwijder deze:
<key path="LM/W3SVC/X">
<property id="**5506**" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />
</key>
Deze eigenschap is een verouderde functie van IIS 6.0 en is niet meer nodig.
Meer informatie
De 5506 aangepaste eigenschap is gebruikt in IIS 6.0 om een SSL-certificaat-hash op te slaan. Wanneer een toepassing of service, die afhankelijk is van de ABO-toewijzing in IIS 7.0 of IIS 7.5, probeert te starten, wordt geprobeerd de ABO-structuur te initialiseren, waaronder het genereren van aangepaste knooppunten en eigenschappen. Tijdens dit proces wordt uit de <CustomMetaData> sectie gelezen en wordt geprobeerd de eigenschappen in de structuur van de ABO-structuur toe te wijzen. Tijdens de toewijzing worden de huidige SSL-bindingen in HTTP.SYS verwijderd en wordt een nieuwe binding opnieuw gemaakt met behulp van de bovenstaande verouderde hash-waarde. Als deze waarde ongeldig is, kan de nieuwe SSL-binding niet worden toegevoegd in HTTP.sys. Dit leidt ertoe dat de website geen geldig IP-adres heeft: Poortcombinatie die overeenkomt met de SSL-binding in HTTP.sys. Met een lege of ongeldige SSL-binding mislukken HTTPS-verbindingen met de website.
Stappen om te reproduceren
Het probleem kan worden gereproduceerd door het volgende toe te voegen onder de <CustomMetadata> sectie van het bestand applicationHost.config :
<key path="LM/W3SVC/X">
<property id="5506" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />
</key>
Nadat dit is gebeurd, zal het starten van een toepassing, waarvoor ABO Mapper is vereist, zoals het starten van IIS Manager (Inetmgr6.exe) of het inventariseren van de metabase met ADSUTIL.vbs het probleem dat in dit artikel wordt beschreven.