タグ付けされた質問 「sni」

サーバー名表示(SNI)はトランスポート層セキュリティの拡張機能であり、個別の証明書を使用して、複数の安全なWebサイトを同じIPアドレスでホストできます。

5
同じIPアドレスと同じポートに複数のSSLドメインがありますか?
これは、同じIPで複数のSSL Webサイトをホストすることに関する標準的な質問です。 各SSL証明書には固有のIPアドレス/ポートの組み合わせが必要であるという印象を受けました。しかし、私が投稿した以前の質問への答えは、この主張と矛盾しています。 その質問からの情報を使用して、同じIPアドレスとポート443で動作する複数のSSL証明書を取得することができました。同じサーバーには独自のIP /ポートが必要です。 私は何か間違ったことをしたのではないかと疑っています。この方法で複数のSSL証明書を使用できますか?


2
IIS8でデフォルトのSSLサイトを設定する
同じワイルドカードSSL証明書を使用するIIS8のWebサイトをいくつかセットアップしました。一部のサイトは、古いブラウザーとオペレーティングシステムからアクセスできる必要があるため、[サーバー名の表示が必要]オプションを使用できません。 SNIはすべてのデバイスでサポートされているわけではないため、IISは次のアラートを表示しています。 「デフォルトのSSLサイトは作成されていません。SNI機能のないブラウザをサポートするには、デフォルトのSSLサイトを作成することをお勧めします。」 デフォルトのSSLサイトを作成するにはどうすればよいですか?一番近い記事私が見つけたは非常に明確ではない、と私は簡単に解決策がなければならないという気持ちを持っています。 サーバーの詳細:Windows Server 2012、IIS8、1つの外部IPアドレス
25 ssl  sni  iis-8 


3
「サーバーはSSL対応である必要がありますが、証明書が構成されていません[ヒント:SSLCertificateFile]」エラー
最近Apache2をバージョン2.2.31にアップグレードした後、SSL VirtualHostのセットアップに奇妙な動作が見つかりました。 私がホストしているWebサイトのいくつかは、クライアントがServer Name Identification認識している場合でもデフォルトホストの証明書を表示していましたが、これは少数のWebサイトでのみ発生しました。これは、ホームバンキングを閲覧している場合に詐欺に遭う可能性があるという一般的なFirefox / Chromeのパスポート警告として表示されますが、そうではありません。 明確にするために、サーバーhost.hostingdomain.orgが独自のSSLを持っている場合、https://www.hostedsite.orgレポート証明書へのアクセスを試みますhost.hostingdomain.orgが、いくつhttps://www.hostedsite.meかの証明書は正しい証明書を報告しました。 すべてのサイトは、ポート443の同じIPアドレスでホストされています。実際、VirtualHostingはHTTP側で動作し、SNI対応クライアントを自動的にSSLにリダイレクトするため、SNI非対応クライアントと下位互換性があります。 問題のあるVirtualHostsのエラーログを調べると、次のテキストが表示されます [Tue Dec 25 16:02:45 2012] [error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/path/to/www.site.org.conf:20) 実際、vhostはSSLCertificateFileで正しく構成されました。 質問は明らかです:それを修正する方法?

6
ブラウザがSNIをサポートする場合にのみSSLにリダイレクトする
mod_sslを備えたApache 2.2と、VirtualHostingを備えた同じIP /ポート上にあるHTTPS内の多数のサイトがあるため、クライアントはこれらの仮想ホストに接続するためにSNIをサポートする必要があります。 サーバーを次のように構成したいと思います。 ユーザーがwww.dummysite.comと入力し、ブラウザーが SNI(サーバー名表示)をサポートしている場合、HTTP要求はhttps://HSTSヘッダーの送信先にリダイレクトされます。ただし、ブラウザが SNIをサポートしていない場合、リクエストはHTTPによって処理されます。 上記の規則は、MozillaとChromeにはこの問題がないため、これらのユーザーをサイトから外さないようにするために、実際には古いブラウザーを実行しているユーザーのフォールバック規則です。 おそらくユーザーエージェントのフィルターを使用して、Apache構成レベルでこのリダイレクトを実行したいと思います。直接のhttp://参照が存在しないことを確認する以外は、実行中のアプリケーションに触れたくない(そうでない場合はセキュリティ警告を意味する) [編集](質問の編集中に質問を忘れました):リダイレクトするSNI対応ユーザーエージェントのリストは何ですか?

3
リバースプロキシはSSLパススルーでSNIを使用できますか?
1つの外部IPアドレスを使用して、https経由で複数のアプリケーションを提供する必要があります。 SSL証明書は、リバースプロキシで管理しないでください。アプリケーションサーバーにインストールされます。 SNIを使用し、エンドポイントで終了するためにSSLを渡すようにリバースプロキシを構成できますか? これはNginxやApacheのようなものを使用して可能ですか?構成はどのように見えますか?

1
SNIでnginxが最初に送信するSSL証明書を定義する方法
Debian SqueezeのOpenSSL 0.9.8oで約30ドメインのnginx 1.2.7を使用しています。それらのうちの2つで、SSLを有効にしました。 SSL構成は両方のドメインで使用されます。 listen 443 ssl; ssl_certificate /etc/nginx/ssl/example.org-unified.crt; ssl_certificate_key /etc/nginx/ssl/example.org.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; add_header Strict-Transport-Security max-age=600000; ssllabs.comチェッカーで両方のドメインをチェックすると、1つのドメインに対して「このサイトはSNIサポートのあるブラウザーでのみ機能します」という通知が表示されます。他のドメインの場合、このメッセージは表示されません。デフォルトでは、nginxはアルファベット順で最初のドメインの証明書をSNIサポートのないクライアントに送信するようです。この動作を変更できますか? つまり、SNIサポートのないクライアントでもSSLが機能する特定のドメインを1つ持つようにnginxを構成したいのです。他のドメインもSSLで動作するはずですが、SNI対応クライアントでのみ動作する場合は問題ありません。 ありがとう!
12 nginx  ssl  sni 

3
IISと同じサーバー上のSNIおよびワイルドカードSSL証明書
サブドメイン(sub.domain.comなど)をリッスンするWebサイトを、IISおよびSSLを使用して、第2レベルドメイン(domain2.com、domain3.comなど)の直下に存在する複数のWebサイトと共にホストしたいと思います。 サブドメインを含むWebサイトには、ワイルドカード証明書(* .domain.com)があり、他のサイト(domain2.comおよびdomain3.com)専用の証明書もあります。 そのようなセットアップは、同じIISでホストできますか(もしそれが重要な場合、Azure Cloud Service Webロールで)? 問題は、ここで titobfが説明したとおりです。理論的には、SNIを使用してバインドし、domain2 / 3.comにホストを指定し、次に* .domain.comに*ホストを使用したキャッチオールWebサイトを使用する必要があります。ただし、実際には、キャッチオールWebサイトが有効になっている場合、バインディングの設定方法に関係なく、domain2 / 3.comへのすべての要求も受信します(ただし、最後の手段としてのみ一致するはずです)。 任意の助けをいただければ幸いです。 未解決 残念ながら、これを解決することはできませんでした。IISとインターネット(基本的にはファイアウォール)の間に位置し、SSLハンドシェイクが行われる前に着信要求を変更するソフトウェアを作成するなど、非常に複雑な方法でしか解決できないようです! )シナリオを許可します。これは、IISでは不可能であり、ネイティブモジュールからでさえ不可能だと確信しています。 明確にする必要があります。AzureCloud Servicesを使用しているため、複数のIPアドレスを使用できないという制約があります(http://feedback.azure.com/forums/169386-cloud-services-web-and -worker-role / suggestions / 1259311-multiple-ssl-and-domains-to-one-app)。複数のIPをサーバーに向けることができる場合、IPのバインディングも作成できるため、この問題はありません。これらは一緒にワイルドカードバインディングで機能します。具体的には、ワイルドカードサイト用のIP(ただし、別のIPを使用しているため、ワイルドカードホスト名バインディングを構成する必要はありません)および他のすべての非ワイルドカード用のIPが必要です。 実際の回避策は、非標準SSLポート8443の使用でした。したがって、SNIバインディングは実際にこのポートにバインドされているため、他のバインディングと一緒に機能します。いいとは言えませんが、Webロールに複数のIPを使用できるようになるまでは、回避策として受け入れられます。 動作しないバインディング 最初のhttpsバインディングは単純な証明書を使用したSNIであり、2番目はワイルドカード証明書を使用したSNIではありません。 SNI httpsサイトと同様にhttpサイトも機能しますが、ワイルドカードバインディングを使用したサイトでは「HTTPエラー503。サービスは利用できません」と表示されます。(追加情報なし、失敗した要求トレースまたはイベントログエントリなし)。 最後に基本的に動作させる 説明したTobiasのようなETWトレースログを有効にすると、ルートエラーは次のようになりました。 要求(要求ID 0xF500000080000008)は理由により拒否されました:UrlGroupLookupFailed。 私が理解している限り、これはhttp.sysが利用可能なエンドポイントにリクエストをルーティングできないことを意味します。 登録されたエンドポイントをチェックすると、netsh http show urlacl実際にポート443に何かが登録されていることがわかりました。 Reserved URL : https://IP:443/ User: NT AUTHORITY\NETWORK SERVICE Listen: Yes Delegate: …

2
SNIでnginxを使用する
今のところ、私はまだnginxでSNIを使用していません。しかし、IPアドレスプールがかなりいっぱいになり、商用XPのサポートが(ついに)終了するので、いくつかのサイトをSNIに変換することを考えています。 SNIに伴う一般的な制限と落とし穴(XPの問題、非常に古いブラウザー)を知っています。しかし、それ以外に注意すべきことはありますか? Like-SNI使用時のnginx関連の落とし穴-最近の(注目に値する!)ブラウザーでの問題/バグ
10 nginx  ssl  sni 

2
SNIは私のWebサイト訪問者のプライバシーの問題を表しますか?
まず、英語が下手でごめんなさい。私はまだそれを学んでいます。ここに行く: IPアドレスごとに1つのWebサイトをホストする場合、「純粋な」SSL(SNIなし)を使用でき、ユーザーが取得したいホスト名とパスをユーザーに通知する前にキー交換が発生します。鍵交換後、すべてのデータを安全に交換できます。とはいえ、誰かが偶然ネットワークを盗聴したとしても、機密情報は漏洩しません*(脚注を参照)。 一方、IPアドレスごとに複数のWebサイトをホストする場合は、おそらくSNIを使用するため、Webサイトの訪問者は、適切な証明書を提供する前に、ターゲットホスト名を通知する必要があります。この場合、自分のネットワークを盗聴した誰かが、自分がアクセスしているすべてのWebサイトドメインを追跡できます。 私の仮定に誤りはありますか?そうでない場合、ユーザーが暗号化されたDNSも使用していることを前提として、これはプライバシーの問題を表していませんか? 脚注:スニファーがIPアドレスを逆引きして、どのWebサイトにアクセスしたかを確認できることも理解していますが、ネットワークケーブルを介してプレーンテキストで移動するホスト名は、検閲当局にとってキーワードベースのドメインブロッキングを容易にするようです。
10 ssl  https  privacy  sni 

1
Windows Server 2012 R2でSNIを使用すると機能しない
私は、Windows Server 2012 R2で、両方のサイトを別々の証明書で実行しようとしています。 これは不可能でしょうか? 最後に追加されたサイトwww.c1get.netで、最初のサイトから証明書を取得し、警告を表示します。 更新 SSL Certificate bindings: ------------------------- IP:port : 0.0.0.0:443 Certificate Hash : fabae896e032f9ba08b389d8c9ecd33908fabe31 Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914} Certificate Store Name : My Verify Client Certificate Revocation : Enabled Verify Revocation Using Cached Client Certificate Only : Disabled Usage Check : Enabled Revocation Freshness Time : …

2
ハードウェアロードバランサーはSNIでSSLトラフィックをルーティングできますか?
現在2つのアプリケーションをホストしているウェブサーバーファームがあります。両方のアプリケーションがすべてのサーバーで実行されています。これを分割して、アプリごとに専用のサーバーファームを用意します(これには十分な理由があります)。 ホスト名に基づいてトラフィックを適切なファームにルーティングするすべてのサーバーの前に単一のロードバランサーを配置することを望んでいましたが、WebサーバーへのSSLを維持したいと考えています。 私たちが提供しているルーターはこれをしていないようです。SNIがなければこれは不可能だと思いますが、ほとんどすべてのトラフィックでSNIインジケーターを期待しています。 現在私はプログラマーであり、ネットワークの専門家ではありませんが、新しいSSL接続要求が来たときに、ルーターがSNIヘッダーを検査して正しいファームにルーティングすることはできません。着信SSL接続が{source IP:source port}によって識別されると想定しているため、後続の着信パケットについてこれを覚えていませんか(SNIが最初のパケットにのみ存在する場合)? 私が知る限り、Haproxyはこれを行いますが、ハードウェアロードバランサーはそうではないようです。これには理由がありますか、これは私たちが推進すべきものですか? (SNIを含まないXPでIEを使用する最後の警備員の場合、古いファームにトラフィックを送信し、必要に応じて新しいファームへのプロキシを管理します)。

2
Apache httpdが名前ベースの仮想ホストがSNI対応のブラウザでのみ機能することを通知するのはなぜですか(RFC 4366)
Apacheがログにこのエラーメッセージを表示するのはなぜですか?誤検知ですか? [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366) 私は最近Centos 5.7から6.3にアップグレードし、それにより新しいhttpdバージョンにアップグレードしました。私は常に以下のようなssl virtualhost設定を行いました。同じ証明書を共有するすべてのドメイン(ほとんど/常にワイルドカード証明書)は、同じIPを共有します。しかし、これまでにこのエラーメッセージを受け取ったことはありません(または、ログを十分に調べていなかったのでしょうか?)学んだことから、これはSNI(サーバー名表示)なしで機能するはずです。 ここに私のhttpd.confファイルの関連部分です。このVirtualHostがないと、エラーメッセージは表示されません。 NameVirtualHost 10.101.0.135:443 <VirtualHost 10.101.0.135:443> ServerName sub1.domain.com SSLEngine on SSLProtocol -all +SSLv3 +TLSv1 SSLCipherSuite ALL:!aNull:!EDH:!DH:!ADH:!eNull:!LOW:!EXP:RC4+RSA+SHA1:+HIGH:+MEDIUM SSLCertificateFile /opt/RootLive/etc/ssl/ssl.crt/wild.fareoffice.com.crt SSLCertificateKeyFile /opt/RootLive/etc/ssl/ssl.key/wild.fareoffice.com.key SSLCertificateChainFile /opt/RootLive/etc/ssl/ca/geotrust-ca.pem </VirtualHost> <VirtualHost 10.101.0.135:443> ServerName sub2.domain.com SSLEngine on …

2
SNIとさまざまなSSL設定を備えたHAProxy
私は2つのサイト用にHAProxyを持っています。1つはパブリック、もう1つはプライベートです。 www.mysite.com private.mysite.com Atm、私はこのようにhaproxyを使用しています: frontend mysite_https bind *.443 ssl crt /etc/mycert.pem ca-file /etc/myca.pem verify optional no-sslv3 mode http acl domain_www hdr_beg(host) -i www. acl domain_private hdr_beg(host) -i private. acl path_ghost path_beg /ghost/ acl clientcert ssl_c_used redirect location https://www.example.com if path_ghost !clientcert redirect location https://www.example.com if !domain_www !clientcert use_backend bknd_private if …
9 ssl  haproxy  sni 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.