服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 思科CSM-S(带SSL)安全和不安全的服务为相同的IP /主机名?
Intereting Posts
无法访问NAS设备 文件系统基准testing结果奇怪(Bonnie ++,VPS) 如何创build具有更高容量的Web服务器…? 带上传进度模块的Nginx上传模块 gitnetworking小团队 免费的SSH客户端为诺基亚S60(诺基亚5800)/ Symbian Postfixconfiguration/电子邮件被某些发件人拒绝 问题安装IPfilterMAC透明代理 生成树协议(STP)防止networking环回问题? FEP 2010安装失败:错误:安装程序无法确定SQL集成服务版本 Supermicro IPMIView – 不能接收SNMP陷阱 Nginx + php-fpm“504 Gateway Time-out”错误,几乎为零(在testing服务器上) 当“Whois注册到期”date到达时,域名会发生什么情况? 导入一个260GB的csv文件到MySQL HP诊断端口84和/或端口85代码是否有完整的参考?

思科CSM-S(带SSL)安全和不安全的服务为相同的IP /主机名?

我们有一个带有SSL的Cisco CSM-S内容交换机。 目前我们的网站是在这个交换机的后面,为HTTP和SSL站点执行负载平衡。 http和https站点使用不同的主机名 


                              *****   
         http://www.site.com=> * * ==>主要服务器
                              * C *   
                              * S *   
                              * M *
     https://secure.site.com=> * * ==> Ecom服务器
                              *****

SSLstream量由CSM中的SSL子卡解密,然后根据HTTP主机名将stream量通过URL路由到各个服务器。 我想为非ecom安全页面的主站点添加HTTPS支持,但是我的pipe理员说CSM不能以这种方式路由stream量。 这是我的计划configuration: 

                               *****   
          http://www.site.com=> * * =(http)=>主要服务器
         https://www.site.com=> * C *   
                               * S *   
                               * M *
      https://secure.site.com=> * * =(http)=> Ecom服务器(安全networking)
                               *****

我理解的方式是,SSL子卡应该在HTTP路由下的一层上运行,因此主站点的安全和非安全页面全部进入相同的内部服务器的事实应该允许这种configuration工作。

有谁知道CSM-S是否支持这种configuration? 如果是这样,我怎么能向我的pipe理员描述如何设置?

如果www.site.com和secure.site.com解决不同的IP地址,我不明白这可能是一个问题。 我们有一个非SSL的CSM,今天就这样做。 CSM-S为您提供的主要额外function是SSL数据包的可见性,以实现负载平衡和硬件SSL终止。

如果网站parsing到相同的IP地址,那么您的pipe理员是正确的,这将是一个问题。 与在不存在CSM-S的单个Web服务器上尝试托pipe这两个不同的SSL站点没有任何区别。 使用HTTPS,服务器必须在客户端有机会告诉服务器需要哪个站点之前协商SSL。 如果您有一个单一的主机证书,并且服务器(或CSM-S)必须在单个IP上的多个站点上交谈SSL,则无法知道向客户端呈现哪个证书。

我知道有三种方法可以在一个IP上支持多个基于名称的SSL站点:

  1. 使用通配符证书 。 为此,所有网站必须位于同一个域中。
  2. 使用主题备用名称 (SAN)证书,有时称为UCC或统一通信证书,因为Microsoft OCS显然倾向于使用多个主机名。 这里唯一的限制就是大多数发行者会限制每个证书的网站数量。
  3. 在您的服务器上使用服务器名称指示 (SNI),这可让客户端在TLS协商期间请求站点名称。 尽pipe客户端支持混合,但在最新版本的Apache上受到支持。 但是,我不认为CSM-S支持SNI,所以如果您在CSM-S上进行SSL终止,那么它对您来说不会成为您的select。

如果您还没有这样做,在不同的IP地址上运行www.site.com和secure.site.com可能是最容易的事情。 如果CSM-S可以基于Host:头来负载均衡,而不仅仅是ip:port,那么更改为两个站点共享的SAN或通配证书是另一种select。

詹姆斯张贴时,我正在打字…方式来窃取我的雷=)

我会补充詹姆斯评论寿:

  1. 如果站点从外部parsing到相同的IP地址,则这不一定是问题,因为您可以configuration策略来检查主机头。
  2. 如果是后端的相同服务器,那么James可以提到通配符证书,或者在不同的端口上运行服务器,并在不同的serverfarms中指定这些端口(有效地将它们视为完全不同的服务器) 。

例: 

vserver FOOBAR ip address 1.2.3.4 any 

 vserver FOOBAR ip address 1.2.3.4 tcp www 

 vserver FOOBAR_S ip address 1.2.3.4 tcp https