SSL-porttien numerot

Meillä on olemassa verkkosivusto, jossa on HTTP-portti 80-portissa ja HTTPS-portti 443. Lisään siihen toisen sivuston nyt, ja ymmärrykseni en voi isännöidä kahta sivustoa samassa SSL-portissa.

Kysymykseni kuuluu siis: mikä porttinumeroalue sopii minulle SSL-porttini käyttämiseen toisella sivustolla?

Kommentit

  • Voisin olla väärässä, mutta uskon, että kelvollinen SSL-sertifikaatti edellyttää, että se on portissa 443, ja uskon, että tämän vuoksi jaettu hosting antaa sinulle omistetun IP-osoite SSL-oston yhteydessä. Mutta …. tämä ei ole minun kenttäni. Toivottavasti joku muu geeky henkilö voi vahvistaa.

Vastaa

Itse asiassa VOIT isännöidä useita SSL-sivustoja portissa 443. Seuraava apache-määritystiedoston koodi tekee temppu.

Muussa tapauksessa voit käyttää mitä tahansa portteja. Haittana on käyttäjien on sisällytettävä portin numero URL-osoitteeseen (esim. https://yourdomain.com:445/ )

## SSL (HTTPS) PORT 443 Listen 443 NameVirtualHost *:443 LoadModule ssl_module modules/mod_ssl.so SSLPassPhraseDialog builtin SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin <VirtualHost *:443> ServerName host1.com SSLEngine on SSLOptions +StrictRequire SSLProtocol -all +TLSv1 +SSLv3 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateFile /etc/httpd/ssl/host1.crt SSLCertificateKeyFile /etc/httpd/ssl/host1.key SSLVerifyClient none SSLProxyEngine off SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" DocumentRoot /var/www/host1/ <Directory "/var/www/host1/"> Options Indexes FollowSymLinks AllowOverride All Order Allow,deny Allow from all </Directory> </VirtualHost> <VirtualHost *:443> ServerName host2.com SSLEngine on SSLOptions +StrictRequire SSLProtocol -all +TLSv1 +SSLv3 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateFile /etc/httpd/ssl/host2.crt SSLCertificateKeyFile /etc/httpd/ssl/host2.key SSLVerifyClient none SSLProxyEngine off SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" DocumentRoot /var/www/host2/ <Directory "/var/www/host2/"> Options Indexes FollowSymLinks AllowOverride All Order Allow,deny Allow from all </Directory> </VirtualHost> 

kommentit

  • Kiitos, mutta tämä on IIS-sivusto. Onko sinulla mitään vihjeitä siitä, miten tekisin saman?

Vastaa

Kun sanot ”toinen sivusto” – tarkoitatko toista verkkotunnusta? Kuten sinäkin, isännöit tällä hetkellä https://www.mycompany.com yhdessä klusterissa ja haluat isännöidä https://www.yourcompany.com samassa klusterissa? Luulen, että mitä etsit, on” virtuaalinen isännöinti ”: http://support.microsoft.com/kb/q190008

Sinun on vielä ostettava toinen SSL-varmenne, mutta voit isännöidä molempia samanaikaisesti IP-osoite vakioporttien alla (mikä ainakin lisää käyttäjien luottamusta sivustoosi).

Kommentit

  • Käytin isäntää otsikkojen nimet, ja molemmat sivustot ovat muodossa first.mycompany.com ja second.mycompany.com. Ongelmana on, että ” -verkkosivustotunnistuksessa ” HTTP-sarakkeita on kolme (IP-osoite, TCP-portti ja isäntätunniste) mutta vain kaksi HTTPS: lle (IP-osoite ja SSL-portti), joten se ei näytä olevan mahdollista ’ siltä osin kuin näen.

Vastaa

Perinteisesti tarvitset yhden IP-osoitteen jokaista SSL-sidontaa kohti. Isäntätunnistetta ei ole mahdollista lisätä, kun asetetaan sidoksia. Syynä tähän on se, että isäntäotsikko on osa selainten lähettämiä HTTP-otsikoita ja nämä otsikot on salattu osana SSL-liikennettä. Lukea isäntänimen otsikko, palvelimen on ensin purettava liikenne salaukseksi, mutta sen suorittamiseksi sen on tiedettävä käytettävä varmenne. Tätä varten se tarvitsee isäntätunnisteen, jotta pääset noidankehään.

Ratkaisu olisi, että palvelin kokeisi kaikki asentamansa varmenteet ja yritä purkaa pyyntö. Vaikka tämä saattaa toimia muutaman asennetun varmenteen kanssa, se ei tue palvelimia, joilla on kymmenesosaa tai sataa SSL-verkkosivustoa. Se hidastaisi dramaattisesti palvelinta, koska palvelimen on tehtävä tämä jokaisen saapuvan pyynnön yhteydessä.

Ratkaisu tähän on SSL-protokollan laajennus Palvelimen nimen indikaatio (SNI) . Tämä lisää isäntänimen SSL-protokollaan, jonka avulla palvelin voi katso isännän otsikko, ennen kuin sen on purettava SSL-liikenne. Tätä laajennusta ei tueta missään IIS: n versiossa, joka on aikaisempi kuin IIS 8 (Windows 2012). Asiakaspuolella SNI: tä tukevat OS X 10.5.6 ja Windows Vista tai uudempi . SChannel ei tue SNI: tä Windows XP: ssä, joten mikään Internet Explorerin versio (edes 8.0) ei tue Windows XP: tä.

Vastaa

IIS: ssä (kuten muissakin verkkopalvelimissa) on kolme avaintunnistetta, jotka tunnistavat sivustosi saapuville pyynnöille:

  1. IP-osoite
  2. TCP portti
  3. Isäntäotsikko

Jos sinulla on useita verkkosivustoja yhdellä verkkopalvelimella, vähintään yhden näistä kolmesta on oltava erilainen kullekin sivustolle. Monissa ympäristöissä palvelimelle annetaan vain yksi IP-osoite, joten se jättää TCP-portin ja isännän otsikon, jota voidaan muuttaa. On mahdollista käyttää https-verkkosivustoa eri portissa, sinun on vain määritettävä portti URL-osoitteessa, mikä ei ole aina toivottavaa (tämä näyttäisi olevan https://www.foo.com:32000/index.html ). Useimmiten haluat käyttää kaikkia verkkosivustojasi portissa 80 (http) tai 443 (https), jotta pääset puhtaisiin URL-osoitteisiin. Tällöin isäntätunniste jätetään muutettavaksi kohteeksi.

IIS: ssä sinulla voi olla useita sivustoja samalla IP / porttiyhdistelmällä, jotka käyttävät SSL: ää ja isäntäotsikoita.Tärkeintä on, että sinun on käytettävä joko jokerimerkkisertifikaattia tai SAN (Subject Alternative Names) -sertifikaattia, joka määrittää useita isäntänimiä varmenteeseen. Et voi asettaa isäntätunnisteen sidoksia SSL-sivuston isäntätunnisteille IIS Managerin käyttöliittymässä. Sinun on joko tehtävä se komentorivillä tai muokattava palvelimen applicationHost.config-tiedostoa manuaalisesti.

Technetin tietoja tämän asettamisesta komentorivillä löytyy täältä .

Siellä oli viesti IIS-foorumi, jolla on samankaltainen asia kuin tämäkin, löytyy täältä .

Kun olet suorittanut komennon tai muokannut määritystiedostoa manuaalisesti, applicationHost.config-tiedosto saattaa näyttää tältä:

<site name="first.mycompany.com"> ... <bindings> <binding protocol="http" bindingInformation="192.168.10.100:80:first.mycompany.com" /> <binding protocol="https" bindingInformation="192.168.10.100:443:first.mycompany.com" /> </bindings> ... </site> <site name="second.mycompany.com"> ... <bindings> <binding protocol="http" bindingInformation="192.168.10.100:80:second.mycompany.com" /> <binding protocol="https" bindingInformation="192.168.10.100:443:second.mycompany.com" /> </bindings> ... </site> 

Sitten näet sidokset IIS-hallinnassa. Toivottavasti se auttaa.

* EDIT * Yllä olevat tiedot olettivat tämän ongelma liittyi IIS7: een. Jos kyseessä on IIS6, on noudatettava erilaista menettelyä. Tietoja löytyy täältä .

Vastaa

harkitsemalla viimeistä kommenttiasi ja tarkistettuasi asiantuntijan vastaukset voin suositella kahta ratkaisua.

Paras ratkaisu on:

Osta jokerimerkin SSL-varmenne, jonka avulla voit suojata rajoittamattoman aliedoston .domain.com, jota isännöidään samalla IP: llä (SSL-varmenne vaatii erillisen IP: n).

Vaihtoehtoiset ratkaisut:

Voit ostaa kaksi erilaista SSL-varmentetta, yhden kullekin verkkosivustolle. ei voi isännöidä niitä samalla ip: llä.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *