Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda a resolver o problema em que as conexões HTTPS falham e as associações SSL são excluídas de um site nos Serviços de Informações da Internet (IIS) 7.0 e 7.5.
Versão original do produto: Serviços de Informações da Internet
Número original do KB: 2025598
Sintomas
Considere o cenário a seguir.
- Você tem um aplicativo Web em execução no Internet IIS 7.0 ou superior configurado com uma associação SSL.
- Intermitentemente, as conexões com o site por HTTPS falham.
- Os usuários ainda podem acessar o site por HTTP, a menos que o site esteja configurado para exigir conexões SSL.
Quando o problema ocorre, os usuários que tentam navegar até o site por HTTPS podem ver mensagens de aviso informando que o certificado SSL expirou ou ainda não é válido, ou que o nome do site está incorreto. Se um administrador de site abrir o Gerenciador do IIS para exibir as configurações de SSL do site, ele poderá descobrir que as associações SSL do site foram excluídas ou substituídas por informações de associação de certificado inválidas. Por fim, um evento semelhante ao seguinte é registrado no log de eventos do sistema:
Nome do Log: Sistema
Fonte: Microsoft-Windows-HttpEvent
Data: 31/03/2010 14:43:28
ID do evento: 15300
Categoria de tarefa: nenhum
Nível: Aviso
Palavras-Chave: Clássico
Usuário: N/A
Computador: IISServer
Descrição:
Configurações de certificado SSL excluídas para a porta: x.x.x.x:443
Causa
A vinculação SSL para o site foi excluída e não substituída, ou foi excluída e substituída por informações de certificado inválidas. O problema ocorre devido a uma propriedade de hash de certificado SSL herdada que interfere na associação SSL atual, resultando na exclusão da associação correta.
Solução
Localize a seguinte propriedade na <CustomMetaData> seção do arquivo applicationHost.config e exclua-a:
<key path="LM/W3SVC/X">
<property id="**5506**" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />
</key>
Essa propriedade é um recurso herdado do IIS 6.0 e não é mais necessária.
Mais informações
A 5506 propriedade customizada foi usada no IIS 6.0 para armazenar um hash de certificado SSL. Quando um aplicativo ou serviço, que depende do mapeador ABO no IIS 7.0 ou IIS 7.5, tenta iniciar, ele tenta inicializar a estrutura de árvore ABO, o que inclui a geração de nós e propriedades personalizados. Durante esse processo, ele lê a <CustomMetaData> seção e tenta mapear as propriedades na estrutura de árvore ABO. Durante o mapeamento, ele exclui as associações SSL atuais no HTTP.SYS e recria uma nova associação usando o valor de hash herdado acima. Se esse valor for inválido, ele não adicionará a nova associação SSL em HTTP.sys. Isso fará com que o site não tenha uma combinação válida de IP: Porta correspondente à vinculação SSL em HTTP.sys. Com uma associação SSL em branco ou inválida, as conexões HTTPS com o site falham.
Etapas para reproduzir
O problema pode ser reproduzido adicionando o <CustomMetadata> seguinte na seção do arquivo applicationHost.config :
<key path="LM/W3SVC/X">
<property id="5506" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />
</key>
Depois que isso for feito, iniciar qualquer aplicativo que exija o ABO Mapper, como iniciar o Gerenciador do IIS (Inetmgr6.exe) ou enumerar a metabase usando ADSUTIL.vbs , resultará no problema descrito neste artigo.