Back to Question Center
0

Números de puerto para SSL - Semalt

1 answers:

Tenemos un sitio web existente con HTTP en el puerto 80 y HTTPS en el puerto 443. Estoy agregando un segundo sitio a eso ahora, y por lo que entiendo, no puedo alojar dos sitios en el mismo puerto SSL.

Entonces mi pregunta es: ¿qué rango de número de puerto es el adecuado para usar como mi puerto SSL en el segundo sitio?

- backup remote in Portland
February 8, 2018

En realidad, PUEDE alojar varios sitios SSL en el puerto 443. El siguiente código en su archivo de configuración de apache hará el truco.

De lo contrario, puede usar los puertos que desee. La desventaja será que los usuarios deberán incluir el número de puerto en la URL (p. Ej. https: // sudominio. com: 445 / )

  ## SSL (HTTPS) PUERTO 443
Escuchar 443
NameVirtualHost *: 443LoadModule ssl_module modules / mod_ssl. asi que
SSLPassPhraseDialog incorporado
SSLSessionCache shmcb: / var / cache / mod_ssl / scache (512000)
SSLSessionCacheTimeout 300
SSLMutex por defecto
Archivo de inicio de SSLRandomSeed: / dev / urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice incorporadoServerName host1. comSSLEngine enSSLOptions + estrictoRequisitoSSLProtocol -all + TLSv1 + SSLv3SSLCipherSuite HIGH: MEDIANO:! ANULL: + SHA1: + MD5: + ALTO: + MEDIOSSLCertificateFile / etc / httpd / ssl / host1. crtSSLCertificateKeyFile / etc / httpd / ssl / host1. llaveSSLVerifyClient noneSSLProxyEngine desactivadoSetEnvIf User-Agent ". * MSIE. * "nokeepalive ssl-unclean-shutdown downgrade-1. 0 fuerza-respuesta-1. 0CustomLog logs / ssl_request_log "% t% h% {SSL_PROTOCOL} x% {SSL_CIPHER} x \"% r \ "% b"DocumentRoot / var / www / host1 /Índices de opciones FollowSymLinksAllowOverride AllOrden Permitir, negarPermitir de todosServerName host2. comSSLEngine enSSLOptions + estrictoRequisitoSSLProtocol -all + TLSv1 + SSLv3SSLCipherSuite HIGH: MEDIANO:! ANULL: + SHA1: + MD5: + ALTO: + MEDIOSSLCertificateFile / etc / httpd / ssl / host2. crtSSLCertificateKeyFile / etc / httpd / ssl / host2. llaveSSLVerifyClient noneSSLProxyEngine desactivadoSetEnvIf User-Agent ". * MSIE. * "nokeepalive ssl-unclean-shutdown downgrade-1. 0 fuerza-respuesta-1. 0CustomLog logs / ssl_request_log "% t% h% {SSL_PROTOCOL} x% {SSL_CIPHER} x \"% r \ "% b"DocumentRoot / var / www / host2 /Índices de opciones FollowSymLinksAllowOverride AllOrden Permitir, negarPermitir de todos 

Cuando dices "segundo sitio", ¿te refieres a un segundo nombre de dominio? Como en, actualmente estás alojando https: // www. mi empresa. com en un clúster y desea alojar https: // www. tu compañía. com en ese mismo clúster? Creo que lo que estás buscando es "hosting virtual": http: // support. microsoft. com / kb / q190008

Aún necesitará comprar un segundo certificado SSL, pero podrá alojar ambos en la misma dirección IP en los puertos estándar (lo que, al menos, aumentará la confianza del usuario en su sitio).

Tradicionalmente necesita una dirección IP por enlace SSL. No es posible agregar un encabezado host al configurar los enlaces. El motivo es que el encabezado del host forma parte de los encabezados HTTP enviados por los navegadores y estos encabezados se encriptan como parte del tráfico SSL.Para leer el encabezado del nombre de host, el servidor primero debe descifrar el tráfico, pero para hacerlo necesita saber qué certificado usar. Para eso necesitaría el encabezado de host para que te metes en un círculo vicioso.

Una solución sería que el servidor pruebe todos sus certificados instalados e intente descifrar la solicitud. Aunque esto podría funcionar con unos pocos certificados instalados, no lo hará para servidores con décimas o cientos de sitios web SSL. Sería mucho más lento el servidor ya que el servidor tendría que hacer esto para cada solicitud entrante.

La solución para esto es una extensión del protocolo SSL llamada Indicación del nombre del servidor (SNI) . Esto agrega el nombre de host al protocolo SSL que permite que el servidor vea el encabezado del host antes de descifrar el tráfico SSL.Esta extensión no es compatible con ninguna versión de IIS anterior a IIS 8 (Windows 2012). En el lado del cliente, SNI es compatible con OS X 10. 5. 6 y Windows Vista o superior. SNI no es compatible con SChannel en Windows XP y, por lo tanto, no es compatible con ninguna versión de Internet Explorer (incluso 8. 0) en Windows XP.

. En muchos entornos, un servidor solo recibe una dirección IP única, de modo que deja el puerto TCP y el encabezado de host que se puede cambiar. Es posible ejecutar un sitio web https en un puerto diferente, solo tiene que especificar el puerto en la URL que no siempre es deseable (esto se vería como https: // www. foo. com: 32000 / index. html ). La mayoría de las veces, desea ejecutar todos sus sitios web en el puerto 80 (http) o 443 (https) para que termine con las URL limpias.Eso deja el encabezado del host como el único elemento que desea cambiar.

En IIS, puede tener varios sitios en la misma combinación de IP / puerto que usan SSL y encabezados de host.La clave es que necesita utilizar un certificado comodín o un certificado SAN (Nombres alternativos del sujeto) que especifique múltiples nombres de host en el propio certificado.No puede establecer los enlaces de encabezado de host para los encabezados de host en un sitio SSL en la IU del Administrador de IIS. Tienes que hacerlo a través de la línea de comando o editar manualmente la aplicación. archivo de configuración en el servidor.

Aquí se puede encontrar información de Technet sobre cómo configurar esto a través de la línea de comandos .

Hubo una publicación en el Foro de IIS con un problema similar a este que también se puede encontrar aquí .

Después de ejecutar el comando o editar manualmente el archivo de configuración, su aplicaciónHost. archivo de configuración puede ser similar a esto:

    
   

A continuación, verá los enlaces en el administrador de IIS. Espero que ayude.

* EDIT * La información anterior supone que este problema estaba relacionado con IIS7. Si es para IIS6, hay un procedimiento diferente a seguir. La información sobre eso se puede encontrar aquí .

al considerar su último comentario y después de revisar las respuestas de los expertos, puedo recomendar dos soluciones.

Las mejores soluciones son:

Adquiera un certificado ssl comodín que le permitirá asegurar un número ilimitado de sub. dominio. com que está alojado en la misma IP (certificado SSL requiere IP dedicada).

Soluciones alternativas:

Puede comprar dos certificados SSL diferentes, uno para cada sitio web. Aquí no puedes alojarlos en la misma ip.

Números de puerto para SSL - Semalt
Reply