[Java lista] [off] Hálózati forgalom irányítása

malary malary at malary.hu
2011. Feb. 23., Sze, 22:42:39 CET 

Hello!

Erre az "SSL kibontásakor még nem ismert, hogy melyik virtual hostra fog beesni a kérés" problémára van több megoldás is.

Ha a vhostok ugyanazon domain alatt vannak, és csak a hostnévben térnek el,
akkor ki lehed adni wildcard tanúsítványt, ami a domain összes hostjára érvényes lesz.
Pl egy CN=*.malary.hu érvényes lesz a www.malary.hu-ra és a mail.malary.hu-ra,
de a malary.hu-ra nem.

Ha különböző a domain is, akkor ucc tanúsítvány fog kelleni.
Ilyenkor a különböző domain neveket a tanúsítvány Subject Alternative Name-ben kell feltüntetni.
Ezt lehet keverni a wildcard-os domain nevekkel. pl www.malary.hu tanúsítványa is ilyen
 
Illetve van 2 RFC is, amit az apache 2.2 implementál:
Az RFC 2817 Upgrading to TLS Within HTTP/1.1, illetve
az RFC 3546 Transport Layer Security (TLS) Extensions (3.1 Server Name Indication)

Az RFC3546-tal anno (2009 nov.) az volt a problémánk, hogy a böngészők win xp alatt
operát és firefoxot kivéve nem küldték el a szerver nevét, így az apache rossz tanúsítányt küldött vissza.
Mac OS X-nel már akkor is rendben volt minden böngésző, és azt hiszem ubuntuval sem volt gond.

Biczók Ádám
Szoftverfejlesztő
Microsec Kft

malary
http://malary.hu

On Feb 23, 2011, at 9:28 PM, Istvan Verhas wrote:

> Szerintem is az apache httpd a megoldás. Ha szegény az eklézsia és csak egy IP cím van akkor valóban első lépésben ki kell bontsa az apache az SSL-t ahhoz hogy megtudja az URL-t ami alapján tud virtual hostolni. Viszont ez teljesen jól működik és külön virtual hostot tudsz definiálni minden egyes külön névre ha külön domain/subdomain tartozik az egyes app-okhoz. Mivel az SSL kibontásakor még nem ismert, hogy melyik virtual hostra fog beesni a kérés ezért nem lehet különböző certificate-t használni a különböző virtual hostokhoz. Annak viszont nincs technikai akadálya, hogy egy certificate több domainre is igazolja, hogy  ugyanaz a tulajdonosa.
> A külön külön certificate-hez külön külön IP cím is kell. Ha persze beéritek egy self signed cert-el akkor ez nem érdekes.
> Csak azért írtam le ezt viszonylag részletesen mert nekem hosszú időbe és tapasztalatba telt mire megértettem.
> 
> Verhás István
> JIRA szakértő
> Verhás & Verhás Szoftver Manufaktúra Kft.
> istvan at verhas.com
> t: +36(30)3997117
> skype: verhasi
> 
> On Feb 23, 2011, at 6:02 PM, Auth Gábor wrote:
> 
>> Hi,
>> 
>>> A kérdés az, hogy tudtok-e ajánlai olyan alkalmazást, ami a 443 portra
>>> bejövő kéréseket elirányítja a megfelelő webapp felé az url alapján
>>> 
>>> Tehát a https://ceg/app1 menne a server1:443-ra
>>> https://ceg/app2 menne a server1:987-re
>>> https://ceg/app3 menne a server2:443/app3-ra
>>> https://ceg/app4 menne a server2:443/app4-re
>> 
>> Az a baj, hogy az SSL miatt nem lehet tudni, hogy mit is akarsz, mert az
>> IP-re beesik egy SSL stream, amelynek a titkosítását fel kell oldanod,
>> hogy megtudd, milyen URL van a kérésben.
>> 
>> Ha egy SSL certed van, akkor megoldható a dolog, Apache esetén sima
>> VirtualHost konfig kell, ilyesmivel:
>> <VirtualHost *:80>
>>   ServerAdmin auth.gabor at javaforum.hu
>>   DocumentRoot /usr/local/www/apache22/data/
>>   ServerName 1000birka.hu
>>   ServerAlias www.1000birka.hu
>> 
>>   <Proxy balancer://cluster>
>>     BalancerMember ajp://192.168.2.61:8009
>>     BalancerMember ajp://192.168.2.62:8009
>>   </Proxy>
>> 
>>   <Location />
>>       ProxyPass balancer://cluster/JavaForum2.0-war/
>>       ProxyPassReverseCookiePath /JavaForum2.0-war /
>>   </Location>
>> 
>>   ProxyVia Off
>>   ProxyPreserveHost On
>> </VirtualHost>
>> 
>> Persze a Proxy esetén a megfelelő protokoll, IP és port kell, de
>> lényegében ennyi az egész, a Location URI-t kell megfelelően
>> megválasztanod.
>> -- 
>> http://www.javaforum.hu -=- http://www.enaplo.hu
>> Auth Gábor -=- http://www.javaforum.hu/web/10/authgabor
>> 
>> _______________________________________________
>> Javalist mailing list
>> Javalist at javagrund.hu
>> http://javagrund.hu/mailman/listinfo/javalist
> 
> _______________________________________________
> Javalist mailing list
> Javalist at javagrund.hu
> http://javagrund.hu/mailman/listinfo/javalist

--------- következő rész ---------
Egy nem text típusú csatolt állomány át lett konvertálva...
Név: smime.p7s
Típus: application/pkcs7-signature
Méret: 6549 bytes
Leírás: nem elérhető
Url : http://javagrund.hu/pipermail/javalist/attachments/20110223/94238e50/attachment.bin

További információk a(z) Javalist levelezőlistáról