Вопросы Теги

Какова технология позади основанного на имени хоста SSL (несколько ssl vhosts на единственном IP)?

CentOS основан на Redhat, таким образом, это - хороший начинающий. Вы могли бы хотеть проверить Debian или Ubuntu как сервер и видеть, подходит ли это Вам лучше. Я затем посмотрел бы на пакеты программного обеспечения, которые Вы хотите установить и искать руководства по установке его на Вашем предпочтительном дистрибутиве. Некоторые вещи будут существовать пакетов, которые устанавливают довольно легко и проверяют на зависимости, в которых это будет нуждаться. Другие должны будут быть скомпилированы, и проверку зависимости главным образом оставляют Вам.

4
задан 30 June 2011 в 12:01
2 ответа

Это не совсем, что Вы думаете. Heroku не подает несколько сертификатов SSL на единственном IP-адресе. При выполнении nslookup против другого Имени хоста развертывание SSL, например, Вы найдете, что каждый из них указывает на другой Amazon на ELB. Там находится секретный соус.

Когда клиент запрашивает Основанный на имени хоста SSL, ELB настраивается для них, и клиента спрашивают к CNAME к имени хоста того ELB. Те ELBs соединяются назад в Heroku, направляющий сетку как соответствующая.

Я надеюсь, что это разрешает некоторые вещи. Не стесняйтесь задавать больше вопросов.

7
ответ дан 3 December 2019 в 03:01

Я не знаю, таким образом, я должен размышлять. Это могло работать в результате взаимодействия между собственными серверами DNS Heroku и серверами HTTP. Поток мог бы пойти как это:

  1. Клиент запрашивает https://www.yourdomain.com
  2. Сопоставитель DNS клиента разрешает www.yourdomain.com как CNAME к RR на серверах имен heroku (например, app1234.apps.heroku.com)
  3. Сопоставитель DNS клиента запрашивает RR для app1234.apps.heroku.com от сервера имен для apps.heroku.com
  4. Сервер имен для apps.heroku.com раздает адрес и уведомляет соответствующий веб-сервер клиента в IP-адресе 1.2.3.4, запрашивающем хост www.yourdomain.com
  5. Клиент инициирует квитирование соединения SSL на app1234.apps.heroku.com
  6. Сервер HTTPS, зная, что клиент в 1.2.3.4 собирается запросить www.yourdomain.com как сайт, выбирает корректный сертификат для www.yourdomain.com и возобновляет квитирование SSL

Поток мог бы прервать некоторые сценарии, особенно со многими запросами на различные сайты, происходящие из единственного IP-адреса (как будет иметь место для клиентов позади прокси или шлюза NAT), но это могло быть "выровнено" путем распространения запросов на различные узлы назначения от единственного исходного IP среди многих серверов HTTPS, таким образом, единственный сервер HTTPS не будет иметь никакой неоднозначности при решении который сертификат выбрать для данного клиента.

0
ответ дан 3 December 2019 в 03:01

Теги

Похожие вопросы