Toon posts:

Meerdere SSL-sites achter 1 proxy-server

Pagina: 1
Acties:

woensdag 29 januari 2003 10:26

Acties:
  • lzandman
  • Registratie: November 2000
  • Niet online

lzandman

Topicstarter
Hoi,

Ik heb een webserver waarop meerdere websites staan. Deze websites hebben ieder een eigen domeinnaam en gebruiken allen SSL. Dus heb ik voor ieder domein een SSL-certificaat en een eigen IP-adres (voorwaarde om SSL te kunnen gebruiken).

Nu wil ik voor de webserver een proxy server (Compaq TaskSmart) gaan hangen. Hiervoor moeten alle domeinen van die websites worden omgezet, zodat ze verwijzen naar de proxy. Een bezoeker komt dus eerst op die proxy binnen, die vervolgens de gegevens van de webserver ophaalt. Mijn vraag is nu of dat ook goed zal gaan met de SSL-verbindingen. Ik weet dat het met 1 certificaat wel goed gaat (de proxy-server laat zo'n SSL-request gewoon door), maar voordat ik aan de slag ga met de rest zou ik graag van iemand van jullie willen weten zoiets uberhaupt mogelijk is.

Kort samengevat: 1 webserver met meerdere SSL-sites achter 1 proxy-server. Kan dat?

What's the speed of Dark?

woensdag 29 januari 2003 12:24

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 28-04 13:26

Equator

Crew Council

#whisky #barista

Ja, mits je meerdere IP adressen hebt gedefinieert op die server. Per ssl pagina een apart IP adres.

Met gewone websites kan je wel meerdere websites achter 1 IP adres hangen. D.m.v. host header informatie kan de webserver dan nog bepalen welke aanvraag naar welke site toe moet.

Echter, bij SSL, wordt ook de host-header info encrypted verstuurd. Ja kandus per definitie maar 1 SSL pagina op een IP adres plaatsen.

De proxy server zal de aanvraag dus moeten doorsturen naar de webserver. Echter kan je binnen een proxy server (of firewall for that matter) maar 1 keer een port forward opgeven voor een aanvraag die binnenkomt op tcp 443.

woensdag 29 januari 2003 12:49

Acties:

Verwijderd

volgens mij kan je als je isa als reverse proxy gebruikt wel meerdere ssl sites hosten. echter de ssl certificaten zal je dan op de isa moeten installen. de communicatie tussen isa en de webserver is dan unencrypted (of met een ander certificate als dat nodig is).

ik heb dit echter nog nooit gedaan/getest.

woensdag 29 januari 2003 15:12

Acties:
  • lzandman
  • Registratie: November 2000
  • Niet online

lzandman

Topicstarter
CyberJ schreef op 29 januari 2003 @ 12:24:
Met gewone websites kan je wel meerdere websites achter 1 IP adres hangen. D.m.v. host header informatie kan de webserver dan nog bepalen welke aanvraag naar welke site toe moet. Echter, bij SSL, wordt ook de host-header info encrypted verstuurd. Ja kandus per definitie maar 1 SSL pagina op een IP adres plaatsen.
Dat wist ik al wel, zoals ik ook al in het bericht hierboven vermelde. :7
De proxy server zal de aanvraag dus moeten doorsturen naar de webserver. Echter kan je binnen een proxy server (of firewall for that matter) maar 1 keer een port forward opgeven voor een aanvraag die binnenkomt op tcp 443.
Ik weet de oplossing denk ik al. Het is niet zo'n probleem. Vanwege die SSL-beperking heeft ieder domein z'n eigen IP-adres en die parkeer ik op de proxy. Daarna maak ik voor elk van die IP-adressen een IP-adres op de webserver aan en hang daar de websites aan. Vervolgens stel ik de proxy zo in dat 'ie elk IP-adres transparant forward naar het 'interne' IP-adres op de webserver.

Nu is het mogelijk om elk domein z'n eigen SSL-certificaat te laten draaien.

Ik was nog niet op het idee gekomen om ook op de webserver verschillende IP-adressen aan te maken. Daarom stelde ik de vraag. Eigenlijk is het niet eens zo moeilijk... :)

[ Voor 9% gewijzigd door lzandman op 29-01-2003 15:13 ]

What's the speed of Dark?

vrijdag 31 januari 2003 12:22

Acties:

Verwijderd

en werkt dat wel? volgens mij ga je dan problemen krijgen met een verkeerd ipnummer (clients vanaf inet zien het nat adres en de webserver het interne nummer)
Reageer