Https

Тема в разделе "Lotus - Администрирование", создана пользователем D!m@n, 26 янв 2009.

  1. D!m@n

    D!m@n Гость

    Добрый день!

    Сервер Domino 7.0.3.
    Задача: обеспечить доступ веб-юзеров по HTTPS.

    Одному IP-адресу соответствуют 4 доменных имени (domain1.ru, domain2.ru, www.domain1.ru, www.domain2.ru), и надо чтобы SSL работал корректно при обращении к сайту по любому из этих адресов.
    Для корректной работы, естественно, необходимо, чтобы Common Name в сертификате сервера совпадало с доменным именем узла, с которым браузер пользователя соединяется по SSL (иначе браузеры так или иначе ругаются... IE, конечно, больше всех :) ).

    Что сделал: 4 key ring'a, соответствующие этим доменным именам, 4 Web Site документа + 1 дефолтный Web Site document (с опцией Use this web site to handle requests which cannot be mapped to any other web sites).

    При обращении по любому из имен (domain1.ru, domain2.ru, www.domain1.ru, www.domain2.ru) почему-то используется конфигурация из дефолтного документа и игнорятся все остальные, несмотря на то, что у них в полях Host names or addresses mapped to this site прописаны соответствующие доменные имена.

    Если дефолтный документ убить - соединение по HTTPS вообще не происходит, а сервер пишет, что не может найти web site document, соответствующий такому-то IP-адресу (HTTP Server: SSL handshake failure, no website found for IP address [ххх.ххх.ххх.ххх]). При этом соединиться с сервером по HTTP по-прежнему возможно.

    Есть решение, которое держу в запасе: просто тупо редирект на www.domain1.ru при обращении к серверу по HTTPS по любому из других доменных имен.
    Но все же хотелось бы сделать по-человечески.

    Уважаемые коллеги, подскажите, пожалуйста, что я делаю неправильно?

    Заранее спасибо!
     
  2. Alexander (Criz)

    Alexander (Criz) Гость

    Internet Site documents require IP address only for SSL
    When you create an Internet Site document on a Domino server for an Internet protocol, you specify a host or DNS name in the field "Host name or addresses mapped to this site." However, if you enter a host name (for example, testserver.acme.com) and enable SSL for that protocol, SSL does not work, and the server console returns the message:
    HTTP Server: SSL handshake failure, no website found for IP address [9.95.79.250]
    Workaround
    Use the server IP address in the "Host name or address mapped to this site" field.

    Короче SSL только по IP работает, и тебе для каждого домена надо иметь свой IP.
    Нашёл тут: http://www-12.lotus.com/ldd/doc/uafiles.ns...File/readme.pdf
     
  3. D!m@n

    D!m@n Гость

    Александр, +1, спасибо!
    Хотя, увы, не обрадовали Вы меня...

    Может есть все-таки какая-нибудь альтернатива? 4 IP - это мне не подходит...
     
  4. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    почему 4-е ИП не подходит?
    сажайте 4 алиаса на интерфейс и живите замечательно
    но ежели честно - не понял задачи...
    кофигурации сайтов одинаковые? - если да, то зачем 4-е дока сайтов? Если нет - то редайрект не подойдет
     
  5. D!m@n

    D!m@n Гость

    Imike, спасибо Вам за ответ!
    4 IP не подходит, т.к. этот сервер в интернет смотрит, и при Вашем варианте потребовалось бы 4 реальных внешних IP.
    Конфигурации сайтов действительно одинаковые, поэтому редирект вполне подойдет, просто это кривоватое решение проблемы.

    Товарищи, если позволите, еще пару вопросов:

    1. Можно ли как-нибудь сделать, чтобы при подключении по HTTPS браузеры понимали, что domain1.ru и www.domain1.ru - это одно и то же имя?
    Потому что если серверу выдать сертификат на domain1.ru, то при обращении по адресу www.domain1.ru браузер все равно ругается, что CN в сертификате не совпадает с URL'ом, и наоборот.
    Или тоже только редирект?

    2. У меня еще возникает такая проблема: в документе Server в поле Maximum URL length стоит значение 4 килобайта. Но почему-то сервер выдает ошибку HTTP 500, если общая длина URL превышает 560 символов (установлено опытным путем). Откуда взялось такое ограничение и как его можно исправить?

    Еще раз заранее спасибо!
     
Загрузка...

Поделиться этой страницей