HTTPS-Verbindungen schlagen fehl, und SSL-Bindungen werden für eine Website in IIS 7.0 und 7.5 gelöscht.

  • Artikel

In diesem Artikel erfahren Sie, wie Sie das Problem beheben, bei dem HTTPS-Verbindungen fehlschlagen und SSL-Bindungen für eine Website in IIS 7.0 und 7.5 gelöscht werden.

Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 2025598

Problembeschreibung

Stellen Sie sich folgendes Szenario vor:

  • Sie verfügen über eine Webanwendung, die unter Internet IIS 7.0 oder höher ausgeführt wird und mit einer SSL-Bindung konfiguriert ist.
  • Zeitweilig schlagen Verbindungen mit der Website über HTTPS fehl.
  • Benutzer können weiterhin über HTTP auf die Website zugreifen, es sei denn, die Website ist so konfiguriert, dass SSL-Verbindungen erforderlich sind.

Wenn das Problem auftritt, werden Benutzern, die versuchen, über HTTPS zur Website zu navigieren, möglicherweise Warnmeldungen mit dem Hinweis angezeigt, dass das SSL-Zertifikat abgelaufen oder noch nicht gültig ist oder dass der Websitename falsch ist. Wenn ein Websiteadministrator den IIS-Manager öffnet, um die SSL-Einstellungen der Website anzuzeigen, kann er feststellen, dass die SSL-Bindungen für die Website gelöscht oder durch ungültige Zertifikatbindungsinformationen ersetzt wurden. Schließlich wird ein Ereignis ähnlich dem folgenden im Systemereignisprotokoll protokolliert:

Protokollname: System
Quelle: Microsoft-Windows-HttpEvent
Datum: 31.03.2010 14:43:28 Uhr
Ereignis-ID: 15300
Aufgabenkategorie: Keine
Stufe: Warnung
Schlüsselwörter: Klassisch
Benutzer: Nicht zutreffend
Computer: IISServer
Beschreibung:
SSL-Zertifikateinstellungen für Port gelöscht: x.x.x.x:443

Ursache

Die SSL-Bindung für die Website wurde gelöscht und nicht ersetzt, oder sie wurde gelöscht und durch ungültige Zertifikatinformationen ersetzt. Das Problem tritt auf, weil eine Legacy-SSL-Zertifikatshasheigenschaft die aktuelle SSL-Bindung beeinträchtigt, was dazu führt, dass die richtige Bindung gelöscht wird.

Lösung

Suchen Sie die folgende Eigenschaft im <CustomMetaData> Abschnitt der applicationHost.config-Datei , und löschen Sie sie:

<key path="LM/W3SVC/X">
     <property id="**5506**" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />
</key>

Diese Eigenschaft ist ein Legacyfeature von IIS 6.0 und wird nicht mehr benötigt.

Weitere Informationen

Die 5506 benutzerdefinierte Eigenschaft wurde in IIS 6.0 verwendet, um einen SSL-Zertifikathash zu speichern. Wenn eine Anwendung oder ein Dienst, der von der ABO-Zuordnung in IIS 7.0 oder IIS 7.5 abhängig ist, startet, versucht sie, die ABO-Struktur zu initialisieren, die das Generieren benutzerdefinierter Knoten und Eigenschaften umfasst. Während dieses Vorgangs liest sie aus dem <CustomMetaData> Abschnitt und versucht, die Eigenschaften in der ABO-Struktur zuzuordnen. Während der Zuordnung werden die aktuellen SSL-Bindungen in HTTP.SYS gelöscht und eine neue Bindung mithilfe des obigen Legacyhashwerts neu erstellt. Wenn dieser Wert ungültig ist, kann die neue SSL-Bindung in HTTP.sysnicht hinzugefügt werden. Dies führt dazu, dass die Website keine gültige IP-Adresse hat: Portkombination, die der SSL-Bindung in HTTP.sysentspricht. Bei einer leeren oder ungültigen SSL-Bindung schlagen HTTPS-Verbindungen mit der Website fehl.

Zu reproduzierende Schritte

Das Problem kann reproduziert werden, indem Im Abschnitt der <CustomMetadata>applicationHost.config-Datei Folgendes hinzugefügt wird:

<key path="LM/W3SVC/X">
    <property id="5506" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />
</key>

Danach führt das Starten einer Anwendung, die den ABO-Mapper erfordert, z. B. das Starten des IIS-Managers (Inetmgr6.exe) oder das Auflisten der Metabasis mithilfe vonADSUTIL.vbs zu dem in diesem Artikel beschriebenen Problem.