Frontend Для Domino Http/https

[rinsk]

Что бы не плодить темы и + о необходимости FrontEnd proxy для домино.
Ситуация - 1,5 тысячи пользователей в регионе по внутреннему vpn. Пинги до хоста - 20-100мс.
WEB приложение на Домино. Особенность - любят портянки на экране.
На скрине подчеркнутое - через прокси со включенным буференгом. Без - напрямую с доминошного http. URL - с &_random.
В итоге наблюдается снижение загрузки процессоров.

 

[ToxaRat]

отключи домлог и скорость поднимется еще в 2 раза

 

[rinsk]

Отвечу - как в подписи lmike)))

 

[lmike]

закину конфигу дополненную cipher, для совместимости с хрюлей (с 8-ым УЕ на борту)

Спойлер

server {
		listen 80; ## listen for ipv4
		listen 443 ssl;
		server_name mail1.castrolcis.com;
 
		ssl_certificate	/etc/nginx/ssl/yourserver.crt;
		ssl_certificate_key /etc/nginx/ssl/yourserver.key;
		ssl_protocols	   TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
#ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!MEDIUM:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED";
#old browsers IE7+, FF3+
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
 
		access_log   /var/log/nginx/yourserver.access.log;
		error_log	/var/log/nginx/yourserver.error.log;
# Перенаправление на back-end
location / {
				proxy_pass http://yourserver:8080;
#			   proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
# http://habrahabr.ru/post/158393/
#				root /var/www/yourserver;
				proxy_set_header Accept-Encoding "";
 
#		proxy_redirect off;
				proxy_set_header Host $host;
				proxy_set_header X-Real-IP $remote_addr;
				proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 
#Domino specific https://frostillic.us/f.nsf/posts/AC0BC188EF19959A85257B7B0067E2EA
				proxy_set_header $WSRA $remote_addr;
				proxy_set_header $WSRH $remote_addr;
				proxy_set_header $WSSN $host;
				proxy_set_header $WSIS True;
 
#protect from slowhttptest -c 1000 -B -g -o my_server_stats -i 110 -r 200 -s 8192 -u http://youserver -x 20 -p 3
				proxy_connect_timeout 120;
				proxy_send_timeout 120;
				proxy_read_timeout 180;
		}
}

[DOUBLEPOST=1426069186,1426069057][/DOUBLEPOST]

вердикт от ssllabs

Handshake Simulation
Android 2.3.7 No SNI 2
TLS 1.0
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) FS
128
Android 4.0.4
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
Android 4.1.1
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
Android 4.2.2
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
Android 4.3
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
Android 4.4.2
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
Android 5.0.0
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
Baidu Jan 2015
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
BingPreview Jan 2015
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
Chrome 40 / OS X R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
Firefox 31.3.0 ESR / Win 7
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
Firefox 35 / OS X R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
Googlebot Feb 2015
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
IE 6 / XP No FS 1 No SNI 2
Protocol or cipher suite mismatch
Fail3
IE 7 / Vista
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
IE 8 / XP No FS 1 No SNI 2
TLS 1.0
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS
112
IE 8-10 / Win 7 R
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
IE 11 / Win 7 R
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) FS
128
IE 11 / Win 8.1 R
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) FS
128
IE Mobile 10 / Win Phone 8.0
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
IE Mobile 11 / Win Phone 8.1
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) FS
128
Java 6u45 No SNI 2
TLS 1.0
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) FS
128
Java 7u25
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
Java 8u31
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
OpenSSL 0.9.8y
TLS 1.0
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) FS
128
OpenSSL 1.0.1l R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
OpenSSL 1.0.2 R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
Safari 5.1.9 / OS X 10.6.8
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
Safari 6 / iOS 6.0.1 R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) FS
128
Safari 6.0.4 / OS X 10.8.4 R
TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) FS
128
Safari 7 / iOS 7.1 R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) FS
128
Safari 7 / OS X 10.9 R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) FS
128
Safari 8 / iOS 8.1.2 R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) FS
128
Safari 8 / OS X 10.10 R
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) FS
128
Yahoo Slurp Jan 2015
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128
YandexBot Jan 2015
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) FS
128

 

[rinsk]

А вот чел. обнаружил Positive Impressions в домине - в отличии от нас, злых )))

Ссылка скрыта от гостей

 

[lmike]

А вот чел. обнаружил Positive Impressions в домине - в отличии от нас, злых )))

это какой-то дикий ад с KYRtool что только не придумают - лишь бы виндой пользоваться
[DOUBLEPOST=1432809067,1432808969][/DOUBLEPOST]я вот не заметил позитивных отличий от использования openssl

 

[rinsk]

я вот не заметил позитивных отличий от использования openssl

Ссылка скрыта от гостей

ну товарисч вдохновился уровнем нативной поддержки TLS\SSL на последних версиях домино, без виндошовинизма ))

 

[lmike]

нативно там нет такой поддержки - надо напильник использовать - kyrtool, кот. ,не взирая на java основу, собран с привязкой в винде...
это не то чтобы меня расстраивало, но вызывает недоумение
ведь без сертификата, доминошного формата, сгенерить (чтобы получить зеленые колбаски, на картинке) можно только этой утилитой
[DOUBLEPOST=1432823905,1432823694][/DOUBLEPOST]а вот это

My impressions were pretty good. I was able to take an existing Apache SSL certificate and change it into a Domino KYR format certificate without too much hassle. It did take time ( about 2 hours ) but the next time around it would only take 30 minutes.

звучит как издевательство

 

[swyatogor]

ssl_certificate /etc/nginx/ssl/yourserver.crt;
ssl_certificate_key /etc/nginx/ssl/yourserver.key;

А не напомните откуда мы эти файлы берем??)) не само подписанные.. что то я запамятовал)

 

[lmike]

А не напомните откуда мы эти файлы берем??)) не само подписанные.. что то я запамятовал)

если не само-подписанные - то у соответ. CA, отправляя ему запрос
ну а вопщем

Ссылка скрыта от гостей

про убунту

Ссылка скрыта от гостей

 

[swyatogor]

ssl_certificate_key /etc/nginx/ssl/yourserver.key;

crt я нашел, который мне высылал сертификатор.. но не помню, что за key и где взять)((

 

[lmike]

crt я нашел, который мне высылал сертификатор.. но не помню, что за key и где взять)((

это приветный ключ сервера и перед сертификацией должны были создать link removed

 

[swyatogor]

@lmike, не.. там другая бяда.. в лотусе же keyRing делается и запрос на сертификат.. вот этот запрос и указывался при создании сертификата.. как такового закрытого ключа сервера я и не видел.. нуно его из ринга выковыривать..
вроде как нашел даже утилиту которая это должна делать..

Ссылка скрыта от гостей

но запустить пока не могу(

 

[lmike]

keyRing

это шифрованный паролем ключ сервера
НО доминошные ключи/сертификаты - г-но не пройдут проверку, потому - желательно весь процесс повторить, но уже через openssl
link removed

 

[swyatogor]

не пройдут проверку

)) как это?? проходят же.. пока)) вот - lotus.romcor.ru

 

[lmike]

)) как это?? проходят же.. пока)) вот - lotus.romcor.ru

здесь оно проходит?
пример генерации для сертификатора

Ссылка скрыта от гостей

 

[lmike]

вот вердикт по поводу вашего сервера:

This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. MORE INFO »
Certificate has a weak signature and expires after 2015. Upgrade to SHA2 to avoid browser warnings. MORE INFO »

типично доминошная заморочка

Signature algorithm SHA1withRSA WEAK

ибо сгенерить с SHA2 - это куча кастылей, на данном этапе и через "стандартную" БД это не делается

 

[lmike]

@swyatogor, по поводу ИБМ тулзы - почитайте ссылку от @rinsk

 

[swyatogor]

@lmike, я потому и приписал там приписку - пока.. потому как сертификатор отказался выдавать сертификат на 5 лет, а выдал только на 2, так как в 2016 заканчивается поддержка sha-1 вообще..

 

[lmike]

@swyatogor
"собака была бешенная - пришлось пристрелить"
с пуделем-то закройте тему если есть соответ фикс - в нотес.ини пропишите (по ссылкам)
а если поставить фронт - все эти траблы будут отсутств. как класс
и сертификаты, с автоматическим продлением, на nginx - читайте выше (с хабра)
бесплатно!