LINUX.ORG.RU
ФорумAdmin

[SSL] Как сделать на одном IP и одном порте разные (sic!) SSL-сертификаты для РАЗНЫХ сайтов (доменов) для веб-сервера?

 


0

1

При этом доступ будет осуществляться из Интернета с неизвестных нам IP и компов вообще. Как вариант: использовать костыль: даём клиенту страницу по HTTP, далее через PHP читаем его IP делаем запуск из PHP скрипта, который на 10 секунд (чтобы не было проблем, если клиент потом запросит другой HTTPS-домен) добавит в iptables правило, которое будет прозрачно перенаправлять запросы клиента на другой порт (внутренний) веб-сервера с другими настройками сертификата соответственно. А в HTTP-странице (сгенерированной тем же PHP-скриптом) у нас будет iframe на всю страницу, подгружающий туда целевую HTTPS-страницу.

Теперь как сделать так, чтобы не меняя сайта с https сделать его ссылки рабочими (т.е. переходящими на HTTP-страницу с фреймом)? Предлагаю через mod_sed подменять все ссылки с HTTPS на HTTP, а скриптом уже смотреть адрес и делать соответствующий iframe. HTTPS и HTTP то апачи у нас разные могут быть.

Что скажете? Какие другие варианты? Особенно интересны ответы от разного рода мусье :)

P.S. я в курсе, что порта реально будет два: 80 и 443.

☆☆☆

Последнее исправление: ktulhu666 (всего исправлений: 1)
Ошибка при /etc/init.d/networking restart
Не работает команда apt-get install g++

Чет я не совсем понял, IP один, но домены разные, т.е. на один ваш IP резолвится несколько доменных имен, так? Так чем не устраивают name-базируемые виртуальные хосты веб-сервера?

lvi ★★★★
()
Ответ на: комментарий от ktulhu666

>читаем внимательно: SLL

Это еще что такое?

Читаю внимательно аж 2 раза, SSL. Былиб разные виртуальные хосты, ну и поставить на них разные SSL-сертификаты. Так ничего и не понял.

lvi ★★★★
()
Ответ на: комментарий от lvi

TLS, по клиентскому сертификату, начинаю вьезжать.

lvi ★★★★
()
Ответ на: комментарий от Vit

в шапке написано про мусье. разве не понятно?

ktulhu666 ☆☆☆
() автор топика

За незнание предметной области и неумение пользоваться ничем, кроме убогого пыха, автора предлагаю направить в биореактор на переосмысление.
В остальном же ответ традиционно для ЛОРа был дан почти сразу, и это SNI. Что тут ещё обсуждать можно, я не в курсе.

DRVTiny ★★★★★
()
Ответ на: комментарий от xtraeft

>да, ip докупить за пару баксов совсем никак?:)

Рабочее время этого пыхающего кул-хацкера не стоит ничего, поэтому да, IP за пару баксов дороже.
Вообще обожаю людей, которые какую-то хитрож.пую ахинею на пустом месте буквально городят, только бы ничего не читать и не знать.

DRVTiny ★★★★★
()
Ответ на: комментарий от KOV

ты мульт ktulhu666 ?

в любом случае, не понял твой комментарий

xtraeft ★★☆☆
()
Ответ на: комментарий от DRVTiny

Уважаемы тролль, ответ про SNI я дал сам себе :) это раз. про IP сказано в заголовке треда. Это два. И три: Пожалуйста, в следующий раз трудитесь, пожалуйста, прочитать то, что здесь написано, и кто что кому написал, прежде чем истекать дерьмом и упрекать других людей в профессионализме. У меня не проблем написать тоже самое на питоне, тут вообще вообще вызываемый скрипт нужен только для получения IP пользователя, вызова iptables-комманды (что, бесспорно, через соответствующий модуль питона можно сделать сразу к ядру, не вызывая бинарник iptables), а также генерации iframe. А пхп я выбрал по тому, что для того, чтобы подготовить на коленке данный концепт, я предпочитаю пользоваться теми инструментами, которыми это сделать проще всего. Тем более, что при моих нагрузках разницы php vs cgi никакой.

P.S. всем другим «очень умным» людям: если Вы не понимаете, что хочет ОП, то стоит об это написать. А не писать, что надо сделать по другому, хотя в ЗАГОЛОВКЕ явно написано, что мы рассматриваем другие условия.

ktulhu666 ☆☆☆
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Ошибка при /etc/init.d/networking restart
Admin
Не работает команда apt-get install g++