問題タブ [sni]

directadmin で SNI を設定する際に問題が発生しました。enable_ssl_sni=1 を directadmin.conf に追加しましたが、まだ次のエラーが発生します。

しかし、その SNI の背後にある全体的な考え方は、所有する IP を割り当てる必要がないということですか?

私の質問は、Directadmin で SNI を機能させるにはどうすればよいかということです。その enable_ssl_sni=1 はチェックを無効にする必要がありますが、そうしていません。そして、http: //help.directadmin.com/item.php?id=284 でオプション enable_ssl_sni がまったく表示されませんか?

多くのクライアント サイトを実行している Debian サーバーがあります。これらのほとんどは SSL を実行していないため、HTTP によるアクセスは問題ありません。

SSL 証明書を持っている顧客が 1 人いますが、HTTPS 経由でサイトにアクセスすることも問題ありません。

HTTPS を使用して他のサイトにアクセスしようとすると、SSL 証明書を持つ他のサイトにリダイレクトされるため、問題が発生します。

たとえば、サーバーに次のサイトがあるとします。

ご覧のとおり、SSL を使用しているのは charlie だけであり、http charlie.net にアクセスするか https charlie.net にアクセスするかに関係なく、問題なく動作します。

他のすべてのサイトへの http は問題ありませんが、https alpha.net にアクセスすると、最初に無効な証明書エラーが表示され、続行できますが、アドレス バーに alpha.net が表示されている間は、実際には表示されますブラウザの charlie.net サイト。

私はSNIを調査しましたが、他のサイトにSSLがある場合、それらをすべて特定のIPアドレスに配置する必要があります（私にはわからないので、どうすればよいかを考え出す必要があります）が、なぜこれが起こるのかわかりません起こっているか、またはそれをどのように解決するか。

他の誰かが以前にこれに遭遇したことがありますか?どのように回避しましたか?

どうもありがとう、

ロブ

SNI を使用して Google App Engine でホストされているサイトから HTTPS ページをダウンロードしようとしています。どのライブラリを使用しても、次のエラーが発生します。

urllib3 openssl モンキーパッチを使用するなど、さまざまな方法でエラーを解決しようとしました。

しかし、上記と同じエラーが常に発生します。

何か案は？

TLS (1.1/2) ハンドシェイクを解析し、S​​NI 情報を特定したいと考えています。

JDK8 は、このための機能を提供します。しかし、もっと簡単で互換性のあるバージョンが欲しいです:

私はこのチャンクを開発しましたが、確実に動作しません (動作するブラウザと動作しないブラウザがあります):

これに対するより良いアプローチを知っている人はいますか?

ありがとうございました！

Web サイトを Azure (Azure Web サイト) に移動しようとしています。SSLが機能していないことを除いて、すべてを移動しました。出てくるエラーは言う

You attempted to reach [subdomain].[domain].com, but instead you actually reached a server identifying itself as *.azurewebsites.net ...

それは私の証明書と関係があるかもしれないと思います。証明書は、GoDaddy を介した UCC 証明書 (複数の SAN) です。サイトを古いサーバーから Azure Web サイトに移動したときに、証明書のキーを更新しませんでした。古いサーバーは、Parallels を使用して管理されていました。証明書を移動するために私がしたことは次のとおりです。

古いサーバーで Parallels にログインしました。SSL 画面を開くと、証明書の 4 つの部分 (csr、秘密鍵、証明書、CA 証明書) が表示されます。それらのそれぞれのテキストをコピーし（---Begin Certificate---および---End Certificate---行を含む。編集：秘密鍵はで始まり、---Begin RSA Private Key---で終わる---End RSA Private key）、データを貼り付けて4つの.txtファイルを作成しました。次に、txt ファイルの名前を変更して、、、、、という名前CAcertificate.cerの4 つのファイルを作成しましcertificate.cerた。それらはすべて c:\ ディレクトリ (ルート) に保存されました。privateKey.pemcert.cer

次に、OpenSSL をプルアップし、次のコマンドを実行しました。

pkcs12 -export -in c:\certificate.cer -inkey c:\privateKey.pem -out c:\certificate.pfx -certfile c:\CAcertificate.cer

パスワードを 2 回入力すると、certificate.pfx ファイルが表示されました。

そのファイルを Azure Web サイトにアップロードしました。UCC Cert は 4 つのサブドメインに適用されます。これらのサブドメインの 1 つだけをドメイン名として Azure Web サイトをセットアップしています。ファイルをアップロードした後、私は に行きSSL Binding、そのサブドメインを選択し、アップロードしたばかりの証明書と一致させ、「SNI SSL」を選択しました。私はそれを保存し、すべてがよさそうに見えました。

残念ながら、サブドメインを参照すると、冒頭に挙げたエラーが表示されます。

そのサブドメインから Azure Web サイトに転送するように CName を設定しました。また、そのサブドメインから Azure Web サイトの IP アドレスを指すように A レコードを設定しています。SSL証明書エラーを除いて、サイトは期待どおりにプルアップしています。

.pfx ファイルを間違って生成しましたか? Azure またはドメイン レジストラーで変更する必要があるものはありますか? 並列パネルから .pem ファイルをダウンロードできることに気付きました。証明書の 4 つの部分すべてが 1 つのファイルに含まれていました。私はそれで何ができるかわかりませんでした。

私はオンラインで詳細な調査を行いました。しかし、実際にSNIを使用しているサイトの数に関する統計は見つかりませんでした

私が見つけた唯一のことは、どのブラウザがSNIをサポートしているかです

誰かがそれが一般的な解決策だと言うことができますか? または多分誰もそれを使用しませんか？

ありがとうジョー