Até que a indicação do nome do servidor seja compatível, sua melhor opção é obter um Certificado de comunicações unificadas que inclui todos os nomes que você precisa proteger em um certificado.
Eu tenho usado o libra para executar mydomain.dk. Agora comprei alguns outros domínios e certificados SSL que são mydomain.no, mydomain.se e mydomain.eu. Minha configuração antiga parecia mais ou menos assim:
ListenHTTPS
Address 81.19.246.120
Port 443
Cert "/usr/local/etc/pound.keys/mydomain.dk.pem"
Service
BackEnd
Address 10.0.10.10
Port 8080
End
End
End
Em locais como aqui , vi que posso usar o HeadRequire na parte do Serviço, mas quero que o cabeçalho do Host seja ir junto com o Cert, idealmente algo como
ListenHTTPS
Address 81.19.246.120
Port 443
HostAndCert "mydomain.dk" "/usr/local/etc/pound.keys/mydomain.dk.pem"
HostAndCert "mydomain.se" "/usr/local/etc/pound.keys/mydomain.se.pem"
HostAndCert "mydomain.no" "/usr/local/etc/pound.keys/mydomain.no.pem"
HostAndCert "mydomain.eu" "/usr/local/etc/pound.keys/mydomain.eu.pem"
Service
BackEnd
Address 10.0.10.10
Port 8080
End
End
End
Alguma sugestão ou pistas sobre como posso conseguir isso?
Felicidades
Nik
EDIT: Sim, no link eu vejo que isso não pode ser feito, um domínio IP pr SSL é necessário. Existem boas alternativas quando não posso usar SSLs com caracteres curinga que dizem mydomain. *?
Até que a indicação do nome do servidor seja compatível, sua melhor opção é obter um Certificado de comunicações unificadas que inclui todos os nomes que você precisa proteger em um certificado.
Há um novo recurso do TLS para resolver esse problema: Indicação do nome do servidor . Ainda não é amplamente suportado.
Isso parece um post sobre uma história muito antiga, mas posso trazer alguns elementos de solução aqui:
Eu li no site oficial da libra em sua 'atualização de junho de 2010' que a libra pode prosseguir para o SNI do openssl (Servidor Name Indication) que possibilita a construção de um proxy reverso https.
Além disso, na lista de discussão da libra (na qual eu tenho sido totalmente incapaz de me registrar: O) eu li que alguém realizou esse sucesso SNI com libra . Eu estou no Linux e meu navegador é sni capaz como relatado por este cheque .
No entanto, parece que apenas o primeiro certificado especificado no arquivo de configuração pound é levado em conta. Na verdade, tenho exatamente o mesmo problema que o aqui : primeiro certificado é mostrado para o cliente, se estiver relacionado ao nome do domínio, isso é bom, senão, mais nenhum certificado é tentado e um aviso é mostrado no navegador do cliente.
Minha configuração é assim:
ListenHTTPS
Address 172.23.1.2
Port 443
Cert "/etc/pound/ssl/wiki.pem"
Cert "/etc/pound/ssl/frontend.pem"
Service
HeadRequire "Host: .*wiki.mydomain.net.*"
BackEnd
Address 192.168.0.110
Port 8080
End
End
Service
HeadRequire "Host: .*mydomain.net.*"
Backend
Address 192.168.0.103
Port 8080
End
End
End
Alguém sabe como forçar cada certificado a ser verificado até que um apropriado seja encontrado?
Lamento dizer que, até onde sei, você só pode ter .mydomain.com, não pode ter mydomain.
Não há alternativa que eu saiba, você deve ter um endereço IP para um SSL.
Muito obrigado pela sua resposta,
Esse recurso existe em relação a wikipedia_SNI .
Infelizmente, todo navegador e sistema operacional não suportam isso, mas, como escrevi, estou usando um sistema operacional e um navegador que permitem isso. Grosso modo, você deve estar executando em um navegador que inclui uma biblioteca openssl permitindo este recurso (vista ou mais recente) ou um navegador implementando-o (Firefox > 3, por exemplo).
E os exemplos que mostrei parecem provar que tal pensamento é possível com libra. É isso que gostaríamos de realizar.
Tags ssl virtualhost pound