Sziasztok,
Lenne egy port alapon mukodo ssl apache
Kivaloan mukodik, ha siman megnyitom a https://www.pelda1 - et, vagy ha ugy hogy www.pelda1 (ami at van iranyitva a https://pelda1 - re) kivaloan mukodik.
Akkor van egy olyan, hogy https://www.pelda2:444 ami szinten az atiranyitossal is mukodik. Eddig jo is, ugye bar mind2 cim azonos ip - rol megy, csak a port mas.
Viszont azt tudjuk, hogy a userek igen lelemenyesek, es szeretnem azt elkerulni, hogy ha nem ugy adjak meg a bongeszobe, hogy www.pelda2 es ez atugrik, vagy nem ugy hogy https://www.pelda2:444, hanem beirjak ugy hogy https://www.pelda2 hogy ebben az esetben ne az elso weboldal jelenjen meg, ami a 443 figyel alapbol, hanem ilyen esetekben dobjon hibat, hogy ilyen nincs. Hogy lehetne rabirni az apache-ot, hogy ez esetben hibat jelezzen. Elore is koszi az otleteket
- 1281 megtekintés
Hozzászólások
nem tudtok erre megoldast? :-(
- A hozzászóláshoz be kell jelentkezni
miert nem iranyitod at azt is?
vagy csinalj neki 1 vhostot?
- A hozzászóláshoz be kell jelentkezni
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^/(.*) https://www.example2.com:%{SERVER_PORT}/$1 [L,R]
--
Joe
- A hozzászóláshoz be kell jelentkezni
namevirtualhost-tal meg tudod őket különböztetni.
de!
ha a két hosthoz nem ugyanaz az ssl cert tartozik (márpedig a www.pelda1-nek és a www.pelda2-nek nem tud ugyanaz lenni a certje), akkor mire oda eljuthatna a user, hogy a kérését egyáltalán beküldi, és az apache pampog, addigra a user megkapja az arcába a nem odavalósi ssl certet, és egy bazinagy warningot fog a browser neki nyomni (másé a cert, mint amit a user próbált megnyitni).
- A hozzászóláshoz be kell jelentkezni
Több CN ugyanahhoz a szerverhez készített tanusítványban?
c
- A hozzászóláshoz be kell jelentkezni
vannak módszerek arra, hogy egy porton a cert több domainhez is jó legyen.
- vagy közös cert kell az összes domainnek (ez orbitális szopás, ha külső, std root ca-t használsz)
- vagy saját ca kell (amit ugye nem fog bárki browsere alapból megenni)
- vagy spéci, nem minden browser által támogatott megoldást kell használni (sni tls ext)
tehát olyan megoldás, amit random internet user tud használni (mindegyik browser megeszi), hivatalos root ca által adott certet használ (random internet user browsere alapból ismeri), és nem orbitális szopás (közösen kell certet igényelniük a domain tulajdonosoknak), olyan nincs.
- A hozzászóláshoz be kell jelentkezni
Na ezt szeretnem elkerulni, ezt a warningot, tehat ha nem portal megadva menne a bizonyos domainre, hanem veletlen elhadja a portot, abban az esetben azt szeretnem, hogy beugrana hogy ilyen nincs. De most mivel az ip azonos mindig bejon a 443-on figyelo pelda1 weboldal, es ezt nem szeretnem.
- A hozzászóláshoz be kell jelentkezni
1.Ha normalisan beallitod a pelda1 virhostjaban a servername-t, es a default-ssl virthostra raksz valami hibaoldalt, akkor nem fogja pelda1-et a hibas pelda2-re beadni szerintem.
2.A warning egy kulon dolog, egy ip-n nem tudsz 2 kulon ssl-t hasznalni
- A hozzászóláshoz be kell jelentkezni
Nem is akarok 1 ip-n 2 tanusitvanyt, hanem port alapon hasznalnek kulonbozo tanusitvanyokat, csak el akarom kerulni, hogy ha valaki lehadja a portot az url moge, akkor ne jelenjen meg neki az a weboldal, ami meg alapbol a 443 - on figyel
- A hozzászóláshoz be kell jelentkezni
Mindenképp hibát akarsz generálni?
Miért nem jó az általam írt megoldás, hogy ha a teszt1-re megy teszt2 névvel a 443-as portra, akkor átdobja a teszt2 szerver 444-es portjára?
--
Joe
- A hozzászóláshoz be kell jelentkezni
hogy ha valaki lehadja a portot az url moge, akkor ne jelenjen meg neki az a weboldal, ami meg alapbol a 443 - on figyel
ezt nem tudod elérni.
a port nyitva van, mire az apache és a browser tud egymással érdemben beszélni, addigra az ssl handshake már lefutott, addigra a browser már feldobta a warningot.
ez van.
- A hozzászóláshoz be kell jelentkezni
Na ja ez a baj, hogy hiaba kuszobolnenk ki egy atiranyitassal, attol meg a 443-on figyelo cert fut le. Szoval hibas servername eseten nem lehet valahogy csak egy hibaoldalt dobni?
- A hozzászóláshoz be kell jelentkezni
röviden: nem. nem tudsz azelőtt hozzászólni a bejövő klienshez, mielőtt a certet odaadod neki, ő pedig előbb akarja a kapott certet ellenőrizni, és csak aztán hajlandó veled beszélni. az ssl már csak így működik. külön ip-cím a megoldás.
- A hozzászóláshoz be kell jelentkezni
Koszi mindent, letisztult a dolog :-)
- A hozzászóláshoz be kell jelentkezni