0

httpsリクエストにポート443を使用するubuntu 12.04 LTSシステムにTomcatをインストールして実行しています(GeoTrust証明書がインストールされています)。

同じマシンで、apache2 はポート 80 でリクエストに応答します。

ここで、apache2 で実行されている webapps (php) を SSL でも保護するタスクを与えられましたが、別のサーバー証明書を使用しました。

これはまったく可能ですか?- 2 つのサーバーが同じポートをリッスンすることはできないため、私の仮定は「いいえ」ですが、よくわかりませんし、これに関する役立つ情報もこれまでのところ見つかりませんでした。

どんな助けでも大歓迎です..

4

1 に答える 1

0

最近では、単一のインターフェイス/ポートの組み合わせ (0.0.0.0:443 など) で複数の証明書を提供することは依然として困難です。HTTPS に 2 つの別々のポートを使用する場合は、問題ありません。異なるインターフェース (例えば 1.2.3.4:443 と 4.3.2.1:443) にバインドしたい場合でも問題ありません。両方を同じインターフェイス/ポートに配置したい場合は、サーバー名の表示に依存する必要があります。これは、Web サーバーのバージョンやクライアントでサポートされている場合とサポートされていない場合があります。

別の証明書が必要な場合は、おそらく別のホスト名も必要になるため、マシンに 2 つ目のインターフェイスを構成することができます。別のインターフェイスを有効にするためだけにマシンに複数の NIC を配置する必要はないことに注意してください。OS は別の IP アドレスで別のインターフェイスを作成し、NIC を共有できる必要があります。次に、各ホスト名が異なる IP アドレスを指すように DNS を設定し、各 SSL VirtualHost を適切な IP アドレスにバインドするようにします (ホスト名に0.0.0.0or*を使用する代わりに)。

正直なところ、SNI は最も簡単な方法です。それぞれに SSL を有効にした (異なる証明書を使用した) VirtualHosts を使用して、それが機能することを「期待」し、サーバーが問題なく起動するかどうかを確認します。その場合は、クライアントをテストして、視聴者にとって機能するかどうかを確認する必要があります. SNI のシナリオでは、Apache httpd がすべての SSL トラフィックを処理し、Tomcat にプロキシするためにmod_proxy_*またはのようなものを使用すると想定しています。mod_jk

分割 IP シナリオでは、Tomcat 内で SSL を終了するか、すべてに httpd を使用して動的コンテンツを Tomcat にプロキシします。

于 2013-10-04T19:08:11.443 に答える