Assigning a SSL certificates in IIS7 on Windows Server 2008 R2
We want two ssl sites on an IIS Server. I generated a self signed ssl certificate using IIS for https://Django.mycompanyname.com:443
However we also need https://site2.Django.mycompanyname.com:443 on the same server.
Is this possible without buying a wildcard ssl certificate?
Технически это возможно - это называется указание имени сервера.
Первой версией IIS, которая поддерживает эту возможность, является IIS 8.0 (см. здесь)
В вашем случае вам необходимо обновить ваш сервер до версии не ниже Server 2012 или использовать обратный прокси, который способен это обеспечить.
Я бы порекомендовал использовать nginx в качестве обратного прокси - это предоставляет дополнительные возможности, такие как поддержка HTTP2 и импровизация производительности обслуживаемого контента (nginx делает несколько неплохих оптимизаций и на транспорте)
Чтобы дать краткое объяснение тому, что на самом деле происходит здесь:
При использовании SNI, переговоры по зашифрованному соединению модифицируются таким образом, что клиент посылает запрошенное имя хоста в самом начале соединения - поэтому старые клиенты этого не поддерживают. Получив запрошенное имя хоста, сервер может решить, какой сертификат будет передан клиенту (при правильной настройке сертификата, совпадающего с запрошенным именем хоста).
При наличии сервера, не обеспечивающего такой механизм, на каждого слушателя доступен только один сертификат, и этот сертификат выдается любому подключающемуся клиенту. Поэтому одна конечная точка (определенная IP:Port) может ответить только одним сертификатом (и/или быть привязана к одному имени узла).
IIS7 не предоставляет возможности SNI. Это приводит к требованию либо к сертификату, содержащему все запрашиваемые/сервисованные имена хостов (что может быть невозможно из-за количества хостов/различных клиентов), либо к уникальной привязке (IP:Port). на предлагаемую конечную точку SSL/TLS.