Questions tagged «sni»

这是关于在同一IP上托管多个SSL网站的规范问题。 我的印象是，每个SSL证书都需要它自己的唯一IP地址/端口组合。但是，我对先前发布的问题的回答与此说法不符。 使用该问题的信息，我能够获得多个SSL证书在相同的IP地址和端口443上工作。对于上述假设，并通过其他假设，每个SSL域网站都对此进行了补充，我感到困惑。同一台服务器需要自己的IP /端口。 我怀疑自己做错了什么。可以通过这种方式使用多个SSL证书吗？

109 apache-2.2  ssl  virtualhost  sni 

我正在寻找一种简单的方法来了解服务器是否在网站上为其HTTPS证书使用服务器名称指示SSL扩展名。使用浏览器或Unix命令行的方法都可以。 谢谢！

41 ssl  https  sni 

我在IIS8上设置了几个使用相同通配符SSL证书的网站。有些站点需要旧版本的浏览器和操作系统可以访问，因此我无法使用“需要服务器名称指示”选项。 由于并非所有设备都支持SNI，因此IIS显示以下警报： “尚未创建默认的SSL站点。为了支持不具有SNI功能的浏览器，建议创建一个默认的SSL站点。” 如何创建默认的SSL站点？我找到的最接近的文章不是很清楚，我觉得必须有一个更简单的解决方案。 服务器详细信息：Windows Server 2012，IIS8，一个外部IP地址

25 ssl  sni  iis-8 

有人可以简化方式向我解释这些证书之间的区别吗？我读了一些文章，但听起来好像他们做的是相同的工作，即用一个证书对许多域进行加密。

21 ssl  sni  subject-alternative-names 

在最近将Apache2升级到2.2.31版之后，我在SSL VirtualHost设置中发现了一个奇怪的行为。 即使客户Server Name Identification知道，我托管的一些网站仍在显示默认主机的证书，而只有少数几个发生了这种情况。这显示为Firefox / Chrome的通行护照，警告您在浏览家庭银行业务时可能会被骗，但事实并非如此。 需要明确的是，如果服务器host.hostingdomain.org具有自己的SSL，则尝试访问的https://www.hostedsite.org报告证书host.hostingdomain.org，但有少数https://www.hostedsite.me报告了正确的证书。 所有站点都托管在端口443上的相同IP地址上。事实是VirtualHosting在HTTP端工作，并且将SNI感知客户端自动重定向到SSL，因此它与SNI感知客户端向后兼容。 检查有问题的VirtualHosts的错误日志，显示以下文本 [Tue Dec 25 16:02:45 2012] [error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/path/to/www.site.org.conf:20) 实际上，vhost已使用SSLCertificateFile正确配置。 问题很明显：如何解决？

21 apache-2.2  ssl  virtualhost  sni 

我有带有mod_ssl的Apache 2.2和带有VirtualHosting的同一IP /端口上的HTTPS中的许多站点，因此客户端必须支持SNI才能连接到这些虚拟主机。 我想通过以下方式配置服务器： 当用户键入www.dummysite.com并且他的浏览器支持 SNI（服务器名称指示）时，任何HTTP请求都将重定向到https://发送HSTS标头的位置。但是，如果浏览器不支持 SNI，则请求将通过HTTP进行处理。 对于仍然运行旧版浏览器的人来说，上述规则实际上是一个后备规则，因为Mozilla和Chrome不会出现此问题，只是为了避免将这些用户留在网站之外。 我想在Apache配置级别执行此重定向，也许使用用户代理上的过滤器。除了确保没有直接的http：//引用，否则我不想接触正在运行的应用程序（否则它们表示安全警告） [编辑]（在编辑问题时我忘记了问题）：启用SNI的用户代理列表是什么？

20 apache-2.2  ssl  virtualhost  sni 

我需要使用一个外部IP地址通过https服务多个应用程序。 ssl证书不应在反向代理上进行管理。它们安装在应用程序服务器上。 可以将反向代理配置为使用SNI并通过ssl来在端点处终止吗？ 是否可以使用Nginx或Apache之类的东西？配置是什么样的？

18 reverse-proxy  https  sni 

我在Debian Squeeze上将nginx 1.2.7与OpenSSL 0.9.8o一起用于大约30个域。我在其中两个上启用了SSL，这两种方法都可以正常使用。 SSL配置可用于两个域： listen 443 ssl; ssl_certificate /etc/nginx/ssl/example.org-unified.crt; ssl_certificate_key /etc/nginx/ssl/example.org.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; add_header Strict-Transport-Security max-age=600000; 使用ssllabs.com检查器检查两个域我得到一个域的通知“该站点仅在支持SNI的浏览器中工作”。对于其他域，我不会收到此消息。默认情况下，nginx似乎将按字母顺序的第一个域的证书发送给不支持SNI的客户端。我可以改变这种行为吗？ 换句话说：我想将nginx配置为具有一个特定的域，即使没有SNI支持的客户端也可以使用SSL。其他域也应与SSL一起使用，但是如果仅在启用了SNI的客户端上可以使用，则可以。 谢谢！

12 nginx  ssl  sni 

我想托管一个网站，该网站应该侦听子域（例如sub.domain.com）以及多个生活在IIS和SSL二级域名（例如domain2.com，domain3.com）之下的网站。 对于具有子域的网站，我具有通配符证书（* .domain.com），并且我还具有专门针对其他站点（domain2.com和domain3.com）的证书。 可以在相同的IIS上托管这样的设置吗（如果重要的话，可以使用Azure Cloud Service Web角色）吗？ 问题恰好是titobf 在这里解释的：理论上，为此，我们需要使用SNI进行绑定，并为domain2 / 3.com指定主机，然后为* .domain.com指定具有* host的通用网站。但是在实践中，无论是否设置了绑定，如果所有网站都在该网站上，它也会收到对domain2 / 3.com的所有请求（尽管据称仅是在万不得已的情况下才进行匹配）。 任何帮助，将不胜感激。 仍未解决 不幸的是，我无法解决这个问题：它似乎只能以极其复杂的方式解决，例如创建一个位于IIS和Internet之间的软件（基本上就是防火墙）并修改传入的请求（在SSL握手之前！）。 ）以允许出现这种情况。我非常有信心，无论如何，IIS都不可能做到这一点，即使是从本机模块也是如此。 我必须澄清：我们使用Azure云服务，因此还有一个限制，即我们不能使用多个IP地址（请参阅：http : //feedback.azure.com/forums/169386-cloud-services-web-and -workerrole / suggestions / 1259311-multiple-ssl-and-domains-to-one-app）。如果您可以将多个IP指向服务器，则不会出现此问题，因为您也可以为IP创建绑定，并且这些绑定可以一起使用通配符绑定。更具体地说，您需要为通配符站点提供一个IP（但是由于您现在拥有一个单独的IP，因此您不必配置通配符主机名绑定），并且为所有其他非通配符提供一个IP。 实际上，我们的解决方法是使用非标准SSL端口8443。因此，SNI绑定实际上绑定到了此端口，因此它可以与其他绑定一起使用。不好，但是对我们来说是一个可以接受的解决方法，直到您可以将多个IP用作Web角色。 现在无法使用的绑定 第一个https绑定是具有简单证书的SNI，第二个不是具有通配符证书的SNI。 http站点以及SNI https站点都可以使用，但是带有通配符绑定的站点提供了“ HTTP错误503。服务不可用”。（没有任何更多信息，没有失败的请求跟踪或事件日志条目）。 终于让它基本工作了 启用ETW跟踪日志（如Tobias所述）表明，根错误如下： 由于以下原因，请求（请求ID 0xF500000080000008）被拒绝：UrlGroupLookupFailed。 据我了解，这意味着http.sys无法将请求路由到任何可用的端点。 通过检查已注册的端点，netsh http show urlacl发现确实为端口443注册了一些东西： Reserved URL : https://IP:443/ User: NT AUTHORITY\NETWORK SERVICE …

12 iis  ssl  azure  ssl-certificate  sni 

到目前为止，我尚未将SNI与nginx结合使用。但是，随着IP地址池已满，并且商业XP支持即将（最终）停止，我正在考虑将一些站点转换为SNI。 我知道SNI（XP问题，非常老的浏览器）可能会带来一些一般性的限制和陷阱。但是除此之外，我还有什么要注意的？ 像-使用SNI时与Nginx相关的陷阱-近期（著名！）浏览器的问题/错误

10 nginx  ssl  sni 

我试图在Windows Server 2012 R2上使两个站点都使用其单独的证书运行。 应该不可能吗？ 在最后添加的站点www.c1get.net上，我从第一个站点获取了证书，因此出现警告。 更新资料 SSL Certificate bindings: ------------------------- IP:port : 0.0.0.0:443 Certificate Hash : fabae896e032f9ba08b389d8c9ecd33908fabe31 Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914} Certificate Store Name : My Verify Client Certificate Revocation : Enabled Verify Revocation Using Cached Client Certificate Only : Disabled Usage Check : Enabled Revocation Freshness Time : …

10 iis  windows-server-2012-r2  sni 

首先，对不起我的英语不好。我还在学习。它去了： 当我每个IP地址托管一个网站时，我可以使用“纯” SSL（不带SNI），并且在用户甚至告诉我要检索的主机名和路径之前就进行了密钥交换。交换密钥后，可以安全地交换所有数据。就是说，如果有人碰巧正在嗅探网络，则不会泄漏任何机密信息*（请参阅脚注）。 另一方面，如果我每个IP地址托管多个网站，则我可能会使用SNI，因此，网站访问者必须告诉我目标主机名，然后才能为其提供正确的证书。在这种情况下，嗅探他的网络的人可以跟踪他正在访问的所有网站域。 我的假设是否有任何错误？如果不是，假设用户也使用加密的DNS，这是否代表隐私问题？ 脚注：我还意识到，嗅探器可以对IP地址进行反向查找，并找出访问了哪些网站，但是通过网络电缆以明文形式传输的主机名似乎使审查机构更容易使用基于关键字的域阻止。

10 ssl  https  privacy  sni 

我们有一个Web服务器场，目前托管2个应用程序-这两个应用程序都在所有服务器上运行。我们希望将其拆分，因此我们为每个应用程序都有一个专用的服务器场（我们有充分的理由）。 我们希望在所有服务器之前都配备一个负载均衡器，该负载均衡器可以根据主机名将流量路由到正确的服务器场，但是我们希望维护Web服务器的SSL。 看来我们提供的路由器没有这样做。我很感谢没有SNI，这是不可能的，但是我们希望SNI指标几乎涵盖所有流量。 现在，我是一名程序员，而不是网络专家，但是当收到新的SSL连接请求时，路由器无法检查SNI标头，并路由到正确的服务器场。我假设传入的SSL连接由{source IP：source port}标识，那么它不能为后续的传入数据包记住这一点（如果SNI仅出现在第一个数据包中）？ 据我所知，Haproxy做到了这一点，但似乎硬件负载平衡器没有。是否有任何原因，还是我们应该为此而努力？ （对于不使用SNI的XP上使用IE的最后一名警卫，我们希望将流量发送到旧服务器场，并在必要时管理向新服务器场的代理）。

9 ssl  load-balancing  sni 

为什么Apache在我的日志中给我这个错误消息？这是假阳性吗？ [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366) 我最近从Centos 5.7升级到6.3，并由此升级到了更新的httpd版本。我一直像下面这样进行ssl virtualhost配置。共享相同证书的所有域（通常/总是使用通配符证书）共享相同的IP。但是以前从未收到过此错误消息（或者，我是否可能对日志的关注不够？）据我了解，这在没有SNI（服务器名称指示）的情况下应该可以工作 这是我的httpd.conf文件的相关部分。没有此VirtualHost，我不会收到错误消息。 NameVirtualHost 10.101.0.135:443 <VirtualHost 10.101.0.135:443> ServerName sub1.domain.com SSLEngine on SSLProtocol -all +SSLv3 +TLSv1 SSLCipherSuite ALL:!aNull:!EDH:!DH:!ADH:!eNull:!LOW:!EXP:RC4+RSA+SHA1:+HIGH:+MEDIUM SSLCertificateFile /opt/RootLive/etc/ssl/ssl.crt/wild.fareoffice.com.crt SSLCertificateKeyFile /opt/RootLive/etc/ssl/ssl.key/wild.fareoffice.com.key SSLCertificateChainFile /opt/RootLive/etc/ssl/ca/geotrust-ca.pem </VirtualHost> <VirtualHost 10.101.0.135:443> ServerName sub2.domain.com SSLEngine on …

9 httpd  ssl-certificate  sni 

我的两个站点都有HAProxy，其中一个是公共站点，另一个是私有站点。 www.mysite.com private.mysite.com 自动取款机，我正在像这样使用haproxy： frontend mysite_https bind *.443 ssl crt /etc/mycert.pem ca-file /etc/myca.pem verify optional no-sslv3 mode http acl domain_www hdr_beg(host) -i www. acl domain_private hdr_beg(host) -i private. acl path_ghost path_beg /ghost/ acl clientcert ssl_c_used redirect location https://www.example.com if path_ghost !clientcert redirect location https://www.example.com if !domain_www !clientcert use_backend bknd_private if …

9 ssl  haproxy  sni