Drupal管理区和登录名，使用HTTPS保护它们

我已经阅读了很多有关此的文章，并尝试了许多我发现的方法，但尚未使任何方法正常工作。

我希望能够保护管理区域和关联的登录页面。因此，example.com / admin / *或example.com/user/*等中的任何内容都需要通过SSL / TLS。我们希望将其应用于具有多站点设置的每个站点。因此example1.com，example2.com，example3.com都位于同一服务器/用户帐户上。

设置

• Drupal 7多站点
• 启用清洁网址
• PHP 5.3
• MySQL v14 d5
• 阿帕奇2

笔记

• 不能选择Securepages，因为没有稳定的Drupal 7版本，并且使用现有的dev版本需要修补Drupal Core，这违反了我们的政策。
• 尝试了会话443失败
• 尝试过安全登录没有成功
• 已安装SSL证书（在测试时为自签名证书），该证书可在服务器上用于其他目的，而不是Drupal。
• 我已经阅读了Drupal.org上有关启用HTTPS的所有文档，并且尝试按照那里的指示进行操作，但收效甚微
• 我已经切换了settings.php中的$ conf ['https']设置，但没有明显的结果。

问题

如果对站点上的所有内容都启用HTTPS，则尝试通过https：//的任何内容都会得到404，这使我认为重写规则不适用于https页面。我在这里想念什么？我可以向htaccess添加重写条件/规则来解决此问题吗？

在Drupal社区中这不是解决的问题吗？人们只是将管理员密码以明文形式发送出去而只是不保留其安全区域吗？我觉得很难相信，但是似乎没有内置的或众所周知的解决方案。

这不是您要问的问题，但最简单的答案是您应该更改政策。

“破解”核心（对其进行修补）并运行不稳定的发行版是运行网站的现实。

安全页面所需的两个补丁经常需要重新滚动，审阅或改进。参与该周期并帮助他们保持稳定。

我使用了以下设置来完成此任务……并且不需要模块即可完成。1）httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2）conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3）settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

和呜呜呜呜！这将使所有http流量都通过https传输，包括js和css之类的资源。如果需要子域，请确保在vhosts文件中添加适当的ServerAlias指令。

我使用了Ubercart SSL模块，尽管它的名称叫人惊异，但它是一个很棒的模块。你不会需要运行的Ubercart借此模块，它是很稳定的，易于使用的优点。