Назад | Перейти на главную страницу

фунт: несколько доменов

Я использовал фунт для запуска mydomain.dk. Теперь я купил несколько других доменов и SSL-сертификатов: mydomain.no, mydomain.se и mydomain.eu. Моя старая конфигурация выглядела примерно так:

ListenHTTPS
        Address 81.19.246.120
        Port    443
        Cert    "/usr/local/etc/pound.keys/mydomain.dk.pem"

        Service
                BackEnd
                Address 10.0.10.10
                Port    8080
                End
        End
End

В таких местах, как Вот Я видел, что могу использовать HeadRequire в части Service, но я хочу, чтобы заголовок Host шел вместе с Cert, в идеале что-то вроде

ListenHTTPS
        Address 81.19.246.120
        Port    443
        HostAndCert    "mydomain.dk" "/usr/local/etc/pound.keys/mydomain.dk.pem"
        HostAndCert    "mydomain.se" "/usr/local/etc/pound.keys/mydomain.se.pem"
        HostAndCert    "mydomain.no" "/usr/local/etc/pound.keys/mydomain.no.pem"
        HostAndCert    "mydomain.eu" "/usr/local/etc/pound.keys/mydomain.eu.pem"

        Service
                BackEnd
                Address 10.0.10.10
                Port    8080
                End
        End
End

Любые предложения или подсказки о том, как я могу это сделать?

Ура

Ник

РЕДАКТИРОВАТЬ: Да, в http://www.apsis.ch/pound/ Я вижу, что это невозможно, требуется один домен IP pr SSL. Есть ли хорошие альтернативы, когда я не могу использовать SSL с подстановочными знаками, которые говорят mydomain. *?

Это похоже на пост об очень старой истории, но я могу привести здесь некоторые элементы решения:

Я читал на официальный сайт фунта в их «обновлении июнь 2010» этот фунт может перейти к openssl SNI (указание имени сервера), что позволяет создать обратный прокси-сервер https.

Кроме того, в списке рассылки фунта (в котором я совершенно не смог зарегистрироваться: O) я прочитал, что кто-то выполнил это успех SNI с фунтом. Я использую Linux, и мой браузер поддерживает sni, как сообщает этот чек.

Однако похоже, что учитывается только первый сертификат, указанный в файле конфигурации фунта. Фактически, у меня точно такая же проблема, как сообщалось Вот: Первый сертификат отображается клиенту, если он связан с доменным именем, это нормально, в противном случае сертификат больше не пробуется и в браузере клиента отображается предупреждение.

Моя конфигурация такая:

ListenHTTPS
  Address 172.23.1.2
  Port  443
  Cert "/etc/pound/ssl/wiki.pem"
  Cert "/etc/pound/ssl/frontend.pem"

  Service
      HeadRequire "Host: .*wiki.mydomain.net.*"
      BackEnd
          Address 192.168.0.110
          Port 8080 
      End
  End
  Service
      HeadRequire "Host: .*mydomain.net.*"
      Backend
          Address 192.168.0.103
          Port 8080
      End
  End
End

Кто-нибудь знает, как заставить проверять каждый сертификат, пока не будет найден подходящий?

Для решения этой проблемы в TLS появилась новая функция: Индикация имени сервера. Он еще не получил широкой поддержки.

Пока не будет поддерживаться указание имени сервера, лучший вариант - получить Сертификат унифицированных коммуникаций который включает в себя все имена, которые вам нужно защитить в одном сертификате.

С сожалением вынужден сообщить, что, насколько мне известно, у вас может быть только .mydomain.com у вас не может быть mydomain.

Я не знаю альтернативы, у вас должен быть один IP-адрес для одного SSL.

Большое спасибо за ответ,

Такая особенность существует в отношении wikipedia_SNI.

К сожалению, все браузеры и ОС не поддерживают это, но, как я уже писал, я работаю в ОС и браузере, которые это позволяют. Грубо говоря, вы должны работать в браузере, который включает библиотеку openssl, позволяющую эту функцию (vista или более позднюю), или браузер, реализующий ее (например, Firefox> 3).

И примеры, которые я показал, кажется, доказывают, что такое мышление возможно с фунтом. Это то, что мы хотели бы реализовать.