web-dev-qa-db-ja.com

ポンド:複数のドメイン

私はmydomain.dkを実行するためにポンドを使用しています。 mydomain.no、mydomain.se、mydomain.euという他のドメインとSSL証明書を購入しました。私の古い設定はおおよそ次のようになりました:

ListenHTTPS
        Address 81.19.246.120
        Port    443
        Cert    "/usr/local/etc/pound.keys/mydomain.dk.pem"

        Service
                BackEnd
                Address 10.0.10.10
                Port    8080
                End
        End
End

here のような場所では、サービス部分でHeadRequireを使用できることを確認しましたが、HostヘッダーをCertと一緒に使用したいのですが、理想的には次のようなものです。

ListenHTTPS
        Address 81.19.246.120
        Port    443
        HostAndCert    "mydomain.dk" "/usr/local/etc/pound.keys/mydomain.dk.pem"
        HostAndCert    "mydomain.se" "/usr/local/etc/pound.keys/mydomain.se.pem"
        HostAndCert    "mydomain.no" "/usr/local/etc/pound.keys/mydomain.no.pem"
        HostAndCert    "mydomain.eu" "/usr/local/etc/pound.keys/mydomain.eu.pem"

        Service
                BackEnd
                Address 10.0.10.10
                Port    8080
                End
        End
End

これを達成する方法についての提案や手がかりはありますか?

乾杯

ナイキ

編集:うん、 http://www.apsis.ch/pound/ できないので、1つのIP prSSLドメインが必要です。 mydomain。*というワイルドカードSSLを使用できない場合、適切な代替手段はありますか?

1
niklassaers

Server Name Indicationがサポートされるまで、最善のオプションは、1つの証明書で保護する必要のあるすべての名前を含む ユニファイドコミュニケーション証明書 を取得することです。

0
Robert

この問題を解決するためのTLSの新機能があります: サーバー名表示 。まだ広くサポートされていません。

1
user4260

これは非常に古い話への投稿のようですが、ここに解決策のいくつかの要素をもたらすかもしれません:

ポンドの公式ウェブサイト の「2010年6月の更新」で、ポンドはhttpsリバースプロキシの構築を可能にするopenssl SNI(サーバー名表示)に進むことができると読んだことがあります。

さらに、ポンドのメーリングリスト(私は完全に登録できませんでした:O)で、誰かがこれを達成したことを読みました ポンドでSNIを成功させる 。私はLinuxを使用しており、ブラウザは このチェック で報告されているようにsni対応です。

ただし、ポンド構成ファイルで指定された最初の証明書のみが考慮されているようです。実際、報告されたものとまったく同じ問題があります ここ :最初の証明書がクライアントに表示されます。ドメイン名に関連している場合は問題ありません。それ以外の場合は、証明書は試行されず、クライアントブラウザに警告が表示されます。

私の構成は次のようになります:

ListenHTTPS
  Address 172.23.1.2
  Port  443
  Cert "/etc/pound/ssl/wiki.pem"
  Cert "/etc/pound/ssl/frontend.pem"

  Service
      HeadRequire "Host: .*wiki.mydomain.net.*"
      BackEnd
          Address 192.168.0.110
          Port 8080 
      End
  End
  Service
      HeadRequire "Host: .*mydomain.net.*"
      Backend
          Address 192.168.0.103
          Port 8080
      End
  End
End

適切な証明書が見つかるまで、各証明書を強制的にチェックする方法を知っている人はいますか?

1
philippe

申し訳ありませんが、私が知る限り、あなたは。mydomain.comあなたはmydomainを持つことはできません。しか持つことができません。

私が知っている代替手段はありません。1つのSSLに対して1つのIPアドレスが必要です。

0

あなたの答えをどうもありがとう、

このような機能は wikipedia_SNI に関して存在します。

残念ながら、すべてのブラウザとOSがこれをサポートしているわけではありませんが、私が書いたように、私はこれを許可するOSとブラウザで実行しています。大まかに言えば、この機能を許可するopensslライブラリを含むブラウザ(Vista以降)またはそれを実装するブラウザ(Firefox> 3など)で実行している必要があります。

そして、私が示した例は、そのような考えがポンドで可能であることを証明しているようです。これが私たちが実現したいことです。

0
philippe