使用 SNI 选项以编程方式在 IIS 8 上添加绑定

Question

我正在尝试使用 Microsoft.Web.Administration 库 (.NET Framework) 为 IIS 8 创建已检查标志 SNI（服务器名称指示）的绑定。

这对我来说是必要的，因为我想在 IIS 下为同一个网站获取多个 SSL 绑定，所有这些都只使用一个 IP 地址。这是 IIS 8 的主要新功能之一。

我一直在研究 Binding 类，但找不到任何标志或选项来指示它。

当前的 Microsoft.Web.Administration v 7.0.0.0 是否可行？ 我需要一个我还没有找到的新版本吗？

我知道版本 7.9.0.0 仅适用于 IIS express，这不是我的方案，所以我没有研究它。

Answer 1

我终于设法使用文件夹 %windir%\system32\inetsrv\ 中的 Microsoft.Web.Administration 做到了这一点，但仅在带有 IIS 8 的 Windows 8/Windows 2012 中。

这些库在 BindingCollection 类的 Add 函数中有 SslFlags 选项。微软还没有关于这个新的重载的文档，或者至少我还没有找到它。

SslFlags.Sni 可用于此，并完美地创建与 SNI 检查的绑定。

Answer 2

当前的 Microsoft.Web.Administration v 7.0.0.0 是否可行？

确实如此，通过手动将SslFlags 属性添加到<binding> 节点：

Binding mySslBinding;
bool enableSni;

using (var serverManager = new ServerManager())
{
    // ... create or get value of mySslBinding...

    mySslBinding.SetAttributeValue("sslFlags", Convert.ToInt32(enableSni ? 1 : 0));

    serverManager.CommitChanges();
}

在此处查看SslFlags 的文档：https://docs.microsoft.com/en-us/iis/configuration/system.applicationhost/sites/site/bindings/binding

请注意，在任何 IIS 版本低于 8.0 的机器上执行上述代码都会导致 CommitChanges() 方法抛出异常，因为这些版本中不存在 sslFlags。

警告：在现有绑定上启用 SNI 可能会导致其证书被取消选择！

另见Setting Server Name Indication (SNI) takes off certificate binding

要避免这个问题，你可以这样做：

var cert = mySslBinding.CertificateHash;
mySslBinding.SetAttributeValue("SslFlags", Convert.ToInt32(1));
mySslBinding.CertificateHash = cert;