[Java lista] [off] Hálózati forgalom irányítása

Vig Balázs Balazs.Vig at dataexplorer.hu
2011. Feb. 24., Cs, 11:32:40 CET


Sziasztok!

Kösz az infókat, gyakorlatilag a kiegészítő kérdéseimet is megválaszoltátok! Akkor most jöhet az olvasás meg a konfig.

Szép napot mindenkinek!
VigB

________________________________________
Feladó: javalist-bounces at javagrund.hu [javalist-bounces at javagrund.hu], meghatalmazó: malary [malary at malary.hu]
Küldve: 2011. február 23. 22:42
Címzett: javalist at javagrund.hu
Tárgy: Re: [Java lista] [off] Hálózati forgalom irányítása

Hello!

Erre az "SSL kibontásakor még nem ismert, hogy melyik virtual hostra fog beesni a kérés" problémára van több megoldás is.

Ha a vhostok ugyanazon domain alatt vannak, és csak a hostnévben térnek el,
akkor ki lehed adni wildcard tanúsítványt, ami a domain összes hostjára érvényes lesz.
Pl egy CN=*.malary.hu érvényes lesz a www.malary.hu-ra és a mail.malary.hu-ra,
de a malary.hu-ra nem.

Ha különböző a domain is, akkor ucc tanúsítvány fog kelleni.
Ilyenkor a különböző domain neveket a tanúsítvány Subject Alternative Name-ben kell feltüntetni.
Ezt lehet keverni a wildcard-os domain nevekkel. pl www.malary.hu tanúsítványa is ilyen

Illetve van 2 RFC is, amit az apache 2.2 implementál:
Az RFC 2817 Upgrading to TLS Within HTTP/1.1, illetve
az RFC 3546 Transport Layer Security (TLS) Extensions (3.1 Server Name Indication)

Az RFC3546-tal anno (2009 nov.) az volt a problémánk, hogy a böngészők win xp alatt
operát és firefoxot kivéve nem küldték el a szerver nevét, így az apache rossz tanúsítányt küldött vissza.
Mac OS X-nel már akkor is rendben volt minden böngésző, és azt hiszem ubuntuval sem volt gond.

Biczók Ádám
Szoftverfejlesztő
Microsec Kft

malary
http://malary.hu

On Feb 23, 2011, at 9:28 PM, Istvan Verhas wrote:

> Szerintem is az apache httpd a megoldás. Ha szegény az eklézsia és csak egy IP cím van akkor valóban első lépésben ki kell bontsa az apache az SSL-t ahhoz hogy megtudja az URL-t ami alapján tud virtual hostolni. Viszont ez teljesen jól működik és külön virtual hostot tudsz definiálni minden egyes külön névre ha külön domain/subdomain tartozik az egyes app-okhoz. Mivel az SSL kibontásakor még nem ismert, hogy melyik virtual hostra fog beesni a kérés ezért nem lehet különböző certificate-t használni a különböző virtual hostokhoz. Annak viszont nincs technikai akadálya, hogy egy certificate több domainre is igazolja, hogy  ugyanaz a tulajdonosa.
> A külön külön certificate-hez külön külön IP cím is kell. Ha persze beéritek egy self signed cert-el akkor ez nem érdekes.
> Csak azért írtam le ezt viszonylag részletesen mert nekem hosszú időbe és tapasztalatba telt mire megértettem.
>
> Verhás István
> JIRA szakértő
> Verhás & Verhás Szoftver Manufaktúra Kft.
> istvan at verhas.com
> t: +36(30)3997117
> skype: verhasi
>
> On Feb 23, 2011, at 6:02 PM, Auth Gábor wrote:
>
>> Hi,
>>
>>> A kérdés az, hogy tudtok-e ajánlai olyan alkalmazást, ami a 443 portra
>>> bejövő kéréseket elirányítja a megfelelő webapp felé az url alapján
>>>
>>> Tehát a https://ceg/app1 menne a server1:443-ra
>>> https://ceg/app2 menne a server1:987-re
>>> https://ceg/app3 menne a server2:443/app3-ra
>>> https://ceg/app4 menne a server2:443/app4-re
>>
>> Az a baj, hogy az SSL miatt nem lehet tudni, hogy mit is akarsz, mert az
>> IP-re beesik egy SSL stream, amelynek a titkosítását fel kell oldanod,
>> hogy megtudd, milyen URL van a kérésben.
>>
>> Ha egy SSL certed van, akkor megoldható a dolog, Apache esetén sima
>> VirtualHost konfig kell, ilyesmivel:
>> <VirtualHost *:80>
>>   ServerAdmin auth.gabor at javaforum.hu
>>   DocumentRoot /usr/local/www/apache22/data/
>>   ServerName 1000birka.hu
>>   ServerAlias www.1000birka.hu
>>
>>   <Proxy balancer://cluster>
>>     BalancerMember ajp://192.168.2.61:8009
>>     BalancerMember ajp://192.168.2.62:8009
>>   </Proxy>
>>
>>   <Location />
>>       ProxyPass balancer://cluster/JavaForum2.0-war/
>>       ProxyPassReverseCookiePath /JavaForum2.0-war /
>>   </Location>
>>
>>   ProxyVia Off
>>   ProxyPreserveHost On
>> </VirtualHost>
>>
>> Persze a Proxy esetén a megfelelő protokoll, IP és port kell, de
>> lényegében ennyi az egész, a Location URI-t kell megfelelően
>> megválasztanod.
>> --
>> http://www.javaforum.hu -=- http://www.enaplo.hu
>> Auth Gábor -=- http://www.javaforum.hu/web/10/authgabor
>>
>> _______________________________________________
>> Javalist mailing list
>> Javalist at javagrund.hu
>> http://javagrund.hu/mailman/listinfo/javalist
>
> _______________________________________________
> Javalist mailing list
> Javalist at javagrund.hu
> http://javagrund.hu/mailman/listinfo/javalist


További információk a(z) Javalist levelezőlistáról