問題タブ [sni]

SNI (Server Name Indication) を Apache MINA の SSLFilter に実装した経験のある人はいますか?

どんな方向性でも大歓迎です。

Microsoft.Web.Administration ライブラリ (.NET Framework) を使用して、フラグ SNI チェック (サーバー名表示) を持つ IIS 8 のバインドを作成しようとしています。

これは、IIS の下で同じ Web サイトに対して複数の SSL バインディングを取得したいので、すべて 1 つの IP アドレスを使用する必要があるためです。これは、IIS 8 の主な新機能の 1 つです。

Binding クラスを調べましたが、それを示すフラグやオプションが見つかりません。

現在の Microsoft.Web.Administration v 7.0.0.0 で可能ですか? まだ見つかっていない新しいバージョンが必要ですか?

バージョン 7.9.0.0 は IIS Express 専用であることは知っていますが、これは私のシナリオではないため、調べていません。

JSSE の例に基づいて、サーバー側で TLS パラメータ "Server Name Indication" (SNI) の値を取得しようとしていますが、成功していません。値を表示するネットワーク スニファー (Wireshark) を使用したので、値がクライアントから送信されたことは確かです。

しかし、次のコード フラグメントを使用すると、サーバー名パラメーターのリストが空になります (「プロトコル」は表示されます)。

Octopus Deployとその " IIS Web サイトおよびアプリケーション プール" プロセス機能を使用して、ASP.NET MVC アプリを IIS にデプロイします。それはうまくいっています。

次に、 HTTPS バインディングのSNIを有効にします。Octopus Deploy は、このための組み込みのチェックボックスを提供していないようです。SNI が自動的に有効になるように Octopus Deploy の IIS デプロイメントをカスタマイズするにはどうすればよいでしょうか?

Octopus Deploy がすべての HTTPS バインディングに対して SNI を自動的に有効にしていれば問題ありません。そのための設定は必要ありません。

ブラウザは現在の Chrome または FF です。サーバー apache 2.2ish で。

仮想ホスト *.443 など、多数の SNI サイトを有効にしています。すべて個別の構成ファイルです。すべて正常に動作しています。

ブラウザでこれらの「SNI」サイトのいずれかに移動するとします。次に、サーバー上のそのサイトを無効にします-たとえばa2dissite THAT_SITE、（念のためにApacheのリロードと再起動が続きます）次に、ブラウザで取得した元のページをリロードしようとします：

THAT_SITE.xx.com は無効なセキュリティ証明書を使用しています。証明書は自己署名であるため、信頼されていません。証明書は ANOTHER_SITE.yy.com に対してのみ有効です

ANOTHER_SITE.yy.com は別の Web サイトです。

その後、証明書を受け入れると、ANOTHER_SITE.yy.com にいることがわかります (!) ブラウザーのキャッシュの問題かもしれないと思いましたが、FF を閉じて再度開いても違いはありません。SNI定義のようです：

「無視」です

奇妙なことに、THAT_SITE_XX などの存在しないサブドメインでさえ、同じメッセージで同じ SNI サイトに送られます。これがデフォルトとして機能しているようです。アルファベット順で最初の仮想ホスト (ファイル名)

FreeBSD-8.2 で OpenSSL 0.9.8q を使用しています。システムに 3 つの仮想ホストがあり、SNI を実装して 3 つすべてを 1 つのサーバーで処理したいと考えています。

私は 3 つの個別の証明書をそれぞれ 1 つずつ持っています。私の ssl-server コードでは、クライアントの要求のドメイン名をどうにかして調べ、それに基づいて適切な証明書ファイルを使用する必要があります。このために、 という名前の関数get_ssl_servername_cbを作成し、それをコールバック関数として に渡しましたSSL_CTX_set_tlsext_servername_callback。このようにして、コールバック関数でクライアントのリクエストのドメイン名を取得できます。

しかし、私の問題は、関数の実行後にこのコールバック関数が実行されていることですが、コマンドSSL_acceptを使用する前に適切な証明書を選択して使用する必要があります。SSL_newSSL_accept

私の質問は、SSL_CTX_set_tlsext_servername_callbackSNI の関数をどのように使用できますか?

Python を使用して Web サーバーをテストしようとしています。私はPythonの経験がほとんどありませんが、習得が簡単で操作が簡単なので、Pythonを使用することをお勧めします(現時点では私の意見ではなく、他の人の意見です)。私が使用しているスクリプトは次のとおりです。

エラーは次のとおりです。

servernameまた、 、name、hostnameおよびを使用してみましたがsni、喜びはありませんでした。

Python ドキュメントでは、SNI (ソケット オブジェクトおよびSSL wiki ページの TLS/SSL ラッパー) については言及されていません。しかし、私はSNIのパッチを知っており、server_hostname4年前の2010年に組み込まれました（*server_hostname* 引数を変更セット65593:846c0e1342d0に追加しSSLContext.wrap_socketます）。

私がアクセスする必要がある同等の OpenSSL 呼び出しはSSL_set_tlsext_host_name.

SNI ホスト名を指定するにはどうすればよいですか? (プロキシをテストしているので、最終的には任意の名前に設定する必要があります)。

CURL を使用して Web サイト ( https://d1lto7any9tcj3.cloudfront.net/service/index.php ) を確認する必要がありますが、私の OS は CentOS リリース 5.9 (Final) で、OpenSSL は 0.9.8e です。

curl -v https://d1lto7any9tcj3.cloudfront.net/service/index.phpを使用すると、

「エラー:14077410:SSL ルーチン:SSL23_GET_SERVER_HELLO:sslv3 アラート ハンドシェイク エラー」

理由はSNIの問題です

OpenSSLを1.0.1eに更新した後でも同じエラーが発生します

この問題を解決するのを手伝ってくれませんか?