Ssl

相同 IP/主機名的 Cisco CSM-S(帶 SSL)安全和非安全服務?

  • September 23, 2009

我們有一個帶有 SSL 的 Cisco CSM-S 內容交換機。目前我們的網站在這個開關後面,它為 HTTP 和 SSL 站點執行負載平衡。http 和 https 站點使用不同的主機名


***** 
http://www.site.com=>* *==>主要伺服器
* C * 
* 小號 * 
* 米 *
https://secure.site.com=>* *==>Ecom 伺服器
*****

SSL 流量由 CSM 中的 SSL 子卡解密,然後根據 HTTP 主機名通過 URL 將流量路由到各種伺服器。我想為非 ecom 安全頁面的主站點添加 HTTPS 支持,但我的管理員說 CSM 無法以這種方式路由流量。這是我計劃的配置:

***** 
http://www.site.com=>* *=(http)=>主要伺服器
https://www.site.com=>* C * 
* 小號 * 
* 米 *
https://secure.site.com=>* *=(http)=>Ecom 伺服器(安全網路)
*****

按照我的理解,SSL 子卡應該在 HTTP 路由下的一層執行,因此主站點的安全和非安全頁面都轉到相同的內部伺服器這一事實應該允許這種配置工作。

有誰知道 CSM-S 是否支持這種配置?如果是這樣,我如何向我的管理員描述它需要如何設置?

如果 www.site.com 和 secure.site.com 解析為不同的 IP 地址,我看不出這會是什麼問題。我們有一個非 SSL CSM,今天就這樣做。CSM-S 為您提供的主要附加功能是對 SSL 數據包的可見性,以實現負載平衡和硬體 SSL 終止。

如果站點解析到相同的 IP 地址,那麼您的管理員是正確的,這將是一個問題。這與嘗試在沒有 CSM-S 的情況下將這兩個不同的 SSL 站點託管在單個 Web 伺服器上沒有任何不同。使用 HTTPS,伺服器必須在客戶端有機會告訴伺服器它想要哪個站點之前協商 SSL。如果您有一個正常的單主機證書,並且伺服器(或 CSM-S)必須為單個 IP 上的多個站點使用 SSL,它將無法知道向客戶端提供哪個證書。

我知道有三種方法可以在單個 IP 上支持多個基於名稱的 SSL 站點:

  1. 使用萬用字元 cert。為此,所有站點必須位於同一域中。
  2. 使用主題備用名稱(SAN) 證書,有時稱為 UCC 或統一通信證書,因為 Microsoft OCS 顯然傾向於使用多個主機名。這裡唯一真正的限制是大多數發行者將限制每個證書的站點數量。
  3. 在您的伺服器上使用伺服器名稱指示(SNI),它允許客戶端在 TLS 協商期間請求站點名稱。最新版本的 Apache 支持它,儘管客戶端支持是混合的。但是,我認為 CSM-S 不支持 SNI,因此如果您在 CSM-S 上進行 SSL 終止,那麼無論如何它都不是您的選擇。

如果您還沒有這樣做,那麼在不同的 IP 地址上執行 www.site.com 和 secure.site.com 可能是您最容易做的事情。如果 CSM-S 可以基於 Host: header 而不僅僅是 ip:port 進行負載平衡,那麼更改為兩個站點共享的 SAN 或萬用字元證書是另一種選擇。

引用自:https://serverfault.com/questions/67295