問題タブ [sni]

異なるサーバー (http および https) から画像を取得するプロジェクトに取り組んでいます。

この Q/Aは Android 2.3の問題を回避するのに役立ちましNo peer certificate errorたが、Android 4 (>3) でこの問題 (" ") が発生しなかった理由がわかりNo peer certificate errorません。

私が間違っている場合は、私を修正してください：

• Android 2.3 では、HTTPS 接続がすべての証明書チェック (およびハンドシェイク) を実行します。
• Android > 3 では、ハンドシェイクが失敗した場合でも HTTPS 接続が確立されます (例: ピアとしての私のアプリには証明書がありません)。

Android のこれらのバージョンの違いは何ですか? Android 4 ではなく Android 2.3 ですべてを信頼する必要があるのはなぜですか?

なぜ Android 2.3 で次の例外が発生"javax.net.ssl.SSLPeerUnverifiedException: No peer certificate error" するのですか? Android 4 ではすべて正常に動作し、接続が確立されているのに?

Android Honeycombで導入された SNI Server Name Indicationに関連するものはすべてありますか?

ポート 80 の http トラフィックに対してすべて正常に動作する、複数の名前付きホストを持つ Apache サーバーがあります。(1つの固有IPアドレスを持つVPS)

SSL 証明書を持つ 1 つのドメインがあり、そのドメインは http と https の両方のトラフィックを処理するように構成されています。

ただし、誰かが誤って SSL 構成されていない URL の先頭に https を追加すると、典型的な証明書警告エラー (予期される) が表示され、ユーザーがエラーを受け入れると (ブラウザーによって異なります)、代わりに構成した SSL サイトが表示されます。元の非 SSL ドメイン。

SNI について少し調べましたが、他の各ドメインの証明書を持っていないため、サーバーが 1 つの特定のドメイン以外の SSL 要求に応答しないか、サーバーの http バージョンにリダイレクトしたいと考えています。サイト。

私がこれにどのようにアプローチするかについての提案をお願いします。

よろしく、 スペンサー

--insecure を使用してアクセスする必要がある Mercurial リポジトリからインストールするための要件ファイルで pip を使用することは可能ですか?

リポジトリは SSL 経由でアクセスされますが、pip が Server Name Indication (SNI) を無視するため、有効な SSL 証明書が受け入れられません (IP アドレスにメイン証明書を使用します)。--insecure はこの問題を回避します

すなわち:

したがって、通常は次のようなことができます。

または、pip 要件ファイルに次のものを含めます。

SSL SNI の問題により、これらはどちらも機能しません。

誰にも良い提案はありますか？

さまざまな SSL サービスを管理する必要があるサーバー アプリケーションを開発しています。各サービスには独自の証明書があります (もちろん、CN は異なります)。SNIを使用して正しい証明書を提供したいのですが、ストリームを認証する前に ClientHello (SNI 拡張機能がある場所) を読み取るのに苦労しています。

それがコードです：

プレフィックス付きの証明書を使用して直接認証しても問題はありませんが、認証前にストリームから 1 バイトでも読み取ろうとすると、AuthenticateAsServer メソッドで永遠にループします。

Apache HTTPS クライアントに関する奇妙な問題に直面しています。基本認証がオンになっている外部 HTTPS Web サイトに接続しようとしています (SSL サーバー認証のみ)。これが私のテストと結論の要約です。

• Chrome/Firefox/IE のいずれかを使用して Web サイトに接続します -> 成功

• 使用javax.net.ssl.HttpsURLConnection-> 成功

• DefaultHttpClientまたはのいずれかを使用SystemDefaultHttpClient-> 失敗

「javax.net.debug」を「ssl」に有効にしてデバッグしてみました。両方のクライアントが同じトラスト ストア (デフォルトの JDK トラスト ストア) を選択し、同じプロトコル (TLSv1) を使用していることに気付きました。しかし、違いはここにありました

次の拡張子がJDKによって返されたことに気付きました

拡張サーバー名、サーバー名: [ホスト名: ウェブサイトのホスト名]

上記の拡張子が Apache Web クライアントのデバッグ ログにありませんでした。

また、私が見たもう1つの違いは、証明書チェーンにありました

JDKネイティブからの以下の応答

* Certificate chain chain [0] = [ [ Version: V3 Subject: **CN=websitename , OU=Domain Control Validated - RapidSSL(R), OU=See www.rapidssl.com/resources/cps (c)13, OU =GT17702541、SERIALNUMBER=Q2La1fpFlFdNy4kUCIehYlMvw6bq64Ch 署名アルゴリズム: SHA1withRSA、OID = 1.2.840.113549.1.1.5

Apacheクライアントでは、次の

chain [0] = [ [ Version: V3 Subject: EMAILADDRESS=root@i4319, CN=i4319 , OU=SomeOrganizationalUnit, O=SomeOrganization, L=SomeCity, ST=SomeState, C=-- 署名アルゴリズム: SHA1withRSA, OID = 1.2 .840.113549.1.1.5

そして明らかに、Apache httpsクライアントで次の例外が発生します。

戻って JDK ネイティブ クライアントを使用するために作業をやり直す前に、何が起こっているのか知りたいと思います。この動作に関する洞察をいただければ幸いです。

今日、Apache を構成して、それぞれ独自の SSL 証明書を持つ 2 つのドメインを実行しようとしています。私が読んだところによると、Apache が最新バージョンの OpenSSL で構成されている限り、これは SNI によってサポートされています。次のことを確認しました。

2 番目のドメインと証明書を正常にセットアップしたと思っていましたが、chrome で 2 番目のドメインにアクセスしようとすると、次のエラーが表示されます。

この投稿は私の問題に最も近いようです:

Apache で複数の SSL 証明書をホストする

しかし、サーバーがすでに正しく構成されていることがわかります (明らかにそうではありません!)。

example2.com の conf ファイルに次のディレクティブがあります。

それは私には正しく見えます。example2 にアクセスすると、apache が example1 の証明書を提供するのはなぜですか?

Glassfish v4 を実行している VPS で Web ホスティング サービスを提供したいと考えています。これは、VPS の 1 つの共有 IP アドレスを持つ複数のドメインを意味します。1 つの IP に対する多くのドメインの SSL 証明書には問題があり、SNI 拡張機能がこの問題を解決する可能性があることは知っています (そうですか?)。私の質問は、Glassfish がこれをサポートしているかどうかです。

ありがとう

質問/問題の解決策を見つけるために数時間検索してきましたが、問題が発生した理由を明確にすることができたと思いますが、解決策を見つけることができませんでした.

複数の Web サイトをホストしている 1 つのサーバーがあり、これらの Web サイトのいくつかは SSL 証明書を使用しています。すべてのサイトからアクセスされるいくつかの共有イメージがあり、SSL サイトで安全でないエラーを停止する方法は、https://www.example-shared-image-server.com/images/imagename からそれらの共有イメージを提供することでした。 jpg

これは問題なく動作しましたが、Windows XP で Internet Explorer を使用すると、「この Web サイトのセキュリティ証明書に問題があります」というメッセージが表示されることに気付きました。次に特定したのは、サーバー上の別のドメインの証明書を取得しているためです。SSL証明書を使用して1つのサーバーで複数のサイトをホストすることがすべてです。

SSL 証明書がインストールされた最初の 2 つのサイトのみを含む 4 つのサイトがあるとします。

そして、次のことを忘れないでください。

したがって、上記の共有画像 URL から画像にアクセスすると、実際にはhttps://www.one.comが表示されるため、エラーが発生します。

したがって、Windows XPまたはVistaでSNIまたはSSL/TLSをサポートしていないIEと関係があるようです.Win 7およびWin 8では、これはM $による即時の策略のように思われます.システム。しかし実際には、他のすべてのブラウザーがそれをサポートしています。

しかし、私が特定できなかったのは、それについて私ができることです。だから私の質問は、IEにエラーを表示させずに、異なるドメインの同じサーバーでSSLを使用して複数のWebサイトをホストすることは可能かということです。そうでない場合、他の人は何をしますか？はい、どうすれば設定できますか？

私はこれに何時間も取り組んでいるので、誰かが助けてくれれば、本当に感謝しています.

どうもありがとう、

ロブ

1 つの IP アドレスで 2 つのサイトをホストしようとしていますが、SSL 経由でアクセスする必要がありますが、大多数のユーザーは Windows XP で Internet Explorer を使用しています。つまり、SNI で複数の SSL を使用すると、アクセスできない可能性があります。

複数の仮想ホストを使用しながら、単一の SSL 証明書を使用して SNI を回避できるかどうか疑問に思っていました。

あるいは、2 つの Apache Web サーバー インスタンスをインストールし、それぞれに独自の DocumentRoot と独自の SSL 証明書をインストールし、最初の Apache Web サーバーをエントリ ポイントとして単純に使用して、いくつかの要求を受け入れ、他の SSL を使用した Apache インスタンスにリダイレクトすることは、どの程度実現可能でしょうか。 ?

VirtualHosts を使用する代わりに、Windows Host ファイル (Windows 2008 Server) を使用して、着信要求を目的の Apache サーバーにリダイレクトすることはできますか?

概念が混乱している場合はお詫び申し上げます。