問題タブ [sni]

Play2.0.x は Server Name Indication をサポートしていますか?

ドキュメントや例へのポインタは素晴らしいでしょう。

典型的な使用例があります。共有ロードバランサーの背後にある「無関係な」Play2 アプリサーバーの名前ベースの仮想ホスティングを使用し、個々のアプリサーバーで SSL ターミネーションを実行したいと考えています。

私は現在、HTTP サーバーの小さなファームで実行されている 2 つの異なる Web アプリケーションの負荷分散リバース プロキシとして lighty を使用しています。

• roundrobbin(URL_1) => Server_Group_1
• roundrobbin(URL_2) => Server_Group_2

HTTP サーバーを HTTPS サーバーに変換したい。URL_1 には CERT_1 があり、URL_2 には CERT_2 があります。多くの人とは異なり、私はフロントエンド プロキシから証明書を提供したくありません。フロントエンド プロキシが HTTPS 要求をセカンダリ プロキシに渡すようにしたい: Proxy_1 (CERT_1 を提供) および Proxy_2 (CERT_2 を提供)。

これは、SNI (Server Name Indication) で可能になるはずです。しかし、私が SNI について読んだことはすべて、両方の証明書を提供するフロントエンド プロキシの例を示しています。両方の証明書をフロントエンド プロキシに配置したくありません。私を狂ったように呼んでください、しかし私は実際には証明書をアプリの近くに保持したいと思っています.

2 つの URL の場合、これは大変なことのように思えるかもしれません。です。私の実際のケースには、数十の URL が含まれます。したがって、すべての証明書を 1 か所に保管しないのはばかげているように思えるかもしれません。しかし、それらを別々に管理することを有利にする「組織上の考慮事項」があります。

したがって、基本的には、純粋な転送に SNI を使用し、SSL ターミネーションをダウンストリームに任せたいと考えています。

読んでくれてありがとう。これから多くのことを学べることを期待しています！

Google の推奨に従って、API レベル 15 プロジェクトに HttpsURLConnection を使用しています。

私のテストケースは非常に単純です:

WiFi 経由でサーバーに接続すると、すべて正常に動作します。

3g 経由でサーバーに接続すると、Apache ログに次のエラーが記録されます。

これで、202.139.83.152 アドレスがモバイル プロバイダーの APN のプロキシ アドレスになります。

両方のリクエストの 'Client Hello' パケットをダンプしました。Handshake Protocol/Extension:server_name フィールドには、wifi リクエストのターゲット ホスト名 (myserver.com) が含まれていますが、3g リクエストの APN プロキシ アドレスが含まれています。

これは ：

• 間違ってコーディングしたもの
• 携帯電話 (Samsung Galaxy S3) で誤って構成したもの
• サーバーで誤って構成したもの
• モバイルプロバイダーが行っている悪いこと
• Android ライブラリのバグ

私のサーバーは、この vhost に専用の IP アドレスを使用しています。

DefaultHttpClient の単純なサブクラスを使用して 3g 経由でリクエストを正常に作成できますが、最小 API レベルが 15 であるため、「優先」パスに進むことを望んでいました。

どんな提案でも大歓迎です。この基本的なことを機能させるために、私はあまりにも多くの時間を費やしてきました。

このプロジェクトの iPhone 開発を担当している私の同僚は、彼のコードが「箱から出してすぐに動作する」という理由で首を横に振っています。

カスタム ドメインの Google アプリで SNI 証明書スロットを購入できるようになりました。

5 SNI で 9 ドルかかりますが、キャパシティ プランニングの方法がわかりません。

SNI スロットはいくつ購入する必要がありますか? 1 つの SNI スロットで 1 秒あたり何件のクエリを処理できますか? GAE アプリに対して開いている同時接続の数は重要ですか?

Javaでサーバー名表示を使用してHTTP接続を開始するのを手伝ってくれる人はいますか?

私が管理しているサイトからコンテンツをリクエストしようとしています。Apache の HttpClient ライブラリを使用していますが、Web サイトが HTTPS に SNI のみを使用し、DefaultHttpClient で SNI が有効になっていないため、セキュア コンテンツのリクエストが失敗します。Apache の HttpClient ライブラリ内でこれにアプローチする方法についての説明を探しましたが、最終的にこのドキュメントで終わることがわかりました: http://hc.apache.org/httpclient-3.x/sslguide.html、これは古くなっています。 (HttpClient と HttpCore が Apache の commons パッケージの一部だった頃のコードを参照)。

それで...何か助けて？

アプリケーションを Azure で機能させるための多くの変更が終わりに近づいており、マシンを展開する一般的なロールの方法ではなく、仮想マシンを使用したいと考えています。

最後に、やらなければならないことのチェックリストを作成し始めましたが、同じ仮想マシンで複数の SSL を使用することを文書化したものを見つけることができないようです。SNI に関するいくつかの投稿に出くわしましたが、SNI を読んだ後、Windows XP をサポートしていません。ユーザー ベースを調査した結果、ユーザーの 3 分の 1 が Windows XP マシンからアクセスしているため、SNI は役に立たなくなりました。

VM が複数の SSL 証明書をサポートできない場合、これはアーキテクチャの大規模な見落としのように見えるため、何かが欠けていますか?

1 つの VIP アドレスで複数の SSL をサポートするものを Azure 内で使用している人はいますか?

cURL を使用して、SNI の使用を開始したばかりの API に投稿しようとしています (そのため、1 つの IP アドレスで複数の ssl 証明書をホストできます)。

この SNI への移行の結果、cURL が機能しなくなりました。彼らは、cURL が *.domain-b.com ではなく *.domain-a.com を取得しているため、SSL が失敗したためだと説明しました。

これは、ブラウザからアクセスしたときに API URL にエラーがないため、cURL のバグのようです。

このコードを使用すると、機能します。

ただし、SSL 証明書を検証しないため、-k の使用は不適切です。

このコードを使用しても機能しません:

したがって、私の質問は、SNI で curl を使用し、SSL を検証するにはどうすればよいかということです (-k を使用する必要はありません)。これを回避するために設定できる PHP または cURL オプションの別の設定はありますか?

G'Day、

SNI を使用して、クラウド ベースの単一 IP ソリューションで SSL Web サイトをホストすることを検討しています。クライアントが TLS ハンドシェイクの前に HTTP 経由で SNI 対応かどうかを .net で判断できますか?

苦労してサーバーに SNI (サーバー名識別) を設定する前に。Google チェックアウト コールバック API で SNI がサポートされているかどうかを知りたかったのです。そうではなかったという報告をいくつか読みましたが、それは1年以上前のことです。

Java 7 では、SNI のクライアント サポートが提供されます。SNI サーバー ロールの既知のオープン ソース実装はありますか? Java は「透過的なサポート」TLS 接続 (ハンドシェイクを含む) を提供しますが、SNI の host_name 拡張子に基づいて証明書を送り返すことができるように、ハンドシェイク プロセスを分離する必要があります。

オンライン ドキュメントが見つからなかったので、OpenJDK ソース コードを調べましたが、Java が ServerHello メッセージを送信する前に ClientHello メッセージを監視できるポイントがないようです。