V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ji1043
V2EX  ›  问与答

关于 ssl 的一些使用问题。。求解答。。

  •  
  •   ji1043 · 2015-04-01 15:05:47 +08:00 via Android · 2118 次点击
    这是一个创建于 3529 天前的主题,其中的信息可能已经有所发展或是发生改变。
    源战已经全站https了,那么用ng反代。。那么代理后出来的https还是安全的吗?。。就是从反代ip访问是否浏览器会说不安全?
    如果证书补发,给反代ip申请一个新证书,那么之前的源战证书是不是失效了呢?
    name的那个9美元证书支持子域名申请吗?
    14 条回复    2015-04-01 16:46:13 +08:00
    clanned
        1
    clanned  
       2015-04-01 15:28:45 +08:00
    既然楼主这样问,就说明还没有配置好吧,给个配置链接做参考: http://serverfault.com/questions/583374/configure-nginx-as-reverse-proxy-with-upstream-ssl

    1.安全。
    比如要代理 https://www.example1.comhttps://reverse.example2.org
    反代出来的ssl是安全的,在配置reverse.example2.org时要配置example2.org的ssl证书,这样浏览器不会提示不安全。但是如果你是说从ip直接访问会提示不安全,不管是example2.org还是example1.com还是google.com都会出现不安全提示。如:

    This server could not prove that it is 173.194.72.104; its security certificate is from www.google.com

    2.具体看你怎么操作。
    域名不同,证书不会失效;即时域名相同,在不同证书服务商注册的域名应该也不会失效;同一个服务商如果允许重新注册,会失效吧。

    3.没用过不知道
    clanned
        2
    clanned  
       2015-04-01 15:30:13 +08:00   ❤️ 1
    2.具体看你怎么操作。
    域名不同,证书不会失效;即时域名相同,在不同证书服务商注册的域名 [证书] 应该也不会失效;同一个服务商如果允许重新注册 [证书] ,会失效吧。
    ji1043
        3
    ji1043  
    OP
       2015-04-01 15:46:17 +08:00 via Android
    @xdtianyu 其实反代我是当作CDN来用,降低源战负载,CDN后IP不是与证书对不上了嘛。。。所以特有此疑问,那不管源战,直接补发反代站IP的证书了只能。。。多域名证书真的好贵好贵。。。还想着如果支持子域名,每个都买一个然后分别反代都便宜。。。
    wzxjohn
        4
    wzxjohn  
       2015-04-01 15:47:50 +08:00
    @ji1043 谁告诉你证书里写 IP 的?揍他去!
    ji1043
        5
    ji1043  
    OP
       2015-04-01 15:55:26 +08:00 via Android
    @wzxjohn 那为何需要独立IP才能装ssl。。。服务器上生成的csr把。。。里面就包含了那些联系信息???
    wzxjohn
        6
    wzxjohn  
       2015-04-01 15:58:39 +08:00   ❤️ 1
    @ji1043 谁告诉你独立 IP 才能装 SSL ?揍他!
    mgc
        7
    mgc  
       2015-04-01 16:05:38 +08:00
    @wzxjohn 建议使用独立IP,但不是必须
    ji1043
        8
    ji1043  
    OP
       2015-04-01 16:08:34 +08:00 via Android
    @wzxjohn 。。。。。。。。你说的那种浏览器支持不友好吧!。。那意思就是证书可以传递??源战的证书可以直接拿到反代站用?只要都是ng的?。。。。。cf的cnd后支持直接获得源战的证书并展现源战证书吗,不要他家的证书。。。。
    clanned
        9
    clanned  
       2015-04-01 16:13:20 +08:00
    @ji1043
    @wzxjohn
    @mgc
    需要独立ip是大概因为有的客户端不支持SNI,这个还是很重要的。
    http://en.wikipedia.org/wiki/Server_Name_Indication

    比如你现在用的android里org.apache.http.client.HttpClient不支持,但是这个api用的还是很广的。服务器同一个ip绑定多个域名证书,如果客户端不支持SNI(请求时没有带hostname)而客户端验证证书的时候服务器返回缺省的证书(配置的第一个)就会出现证书错误的问题。
    wzxjohn
        10
    wzxjohn  
       2015-04-01 16:23:43 +08:00
    @xdtianyu 你说的没错,但是我还是要说,“独立 IP 才能装 SSL”是完全错误的,很多人认为的“SSL 证书包含 IP 信息”也是错误的。没错 SNI 确实有些客户端不支持,不过大部分都是老旧 XP 系统。你说的这个 API 已经支持 SNI 了。https://issues.apache.org/jira/browse/HTTPCLIENT-1119
    wzxjohn
        11
    wzxjohn  
       2015-04-01 16:26:46 +08:00   ❤️ 1
    @ji1043 除了 XP 都没有问题。然后似乎你对 SSL 真的是完全不了解。CDN 没有任何办法直接从源站获取证书并且传递给客户端,因为 CDN 没有你的私钥。但是你的意思似乎是自己搭建反代,这时候情况就不一样了。自己的服务器当然可以把私钥也放上去,没有任何问题。

    顺便一说,目前的 CDN 实现 HTTPS 基本上都是通过多域名证书实现的,当然价格也不菲。除此之外基本上就是只能用 CDN 提供的域名实现 HTTPS ,比如七牛的服务。
    clanned
        12
    clanned  
       2015-04-01 16:34:16 +08:00
    @wzxjohn 233 我说的是"android里org.apache.http.client.HttpClient不支持", 我知道apache httpclient支持的,android在推java.net.HttpURLConnection,apache的那个根本就不更新了,但HttpClient用的人还是很多的
    wzxjohn
        13
    wzxjohn  
       2015-04-01 16:36:41 +08:00
    @xdtianyu 那就没办法了。。。我只能说常用的浏览器之类的都支持,如果有 App 不支持请丢弃那个 App。
    shakoon
        14
    shakoon  
       2015-04-01 16:46:13 +08:00
    借楼顺便问个略相关的问题,怎么把已经被墙的http访问用户跳转到https去,就像本站一样。我设置302跳转、url redirection貌似都没成功。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3374 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 11:40 · PVG 19:40 · LAX 03:40 · JFK 06:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.