Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> Serwer WWW z SSL -> dane na innym serwerze
phpamator
post 24.04.2018, 09:30:00
Post #1





Grupa: Zarejestrowani
Postów: 210
Pomógł: 3
Dołączył: 10.07.2016
Skąd: UK-raine

Ostrzeżenie: (0%)
-----


Dzień dobry wszystkim,

Podpowiedzcie proszę jak powinienem się do tego zabrać. Otóż mam serwer na którym mam kilka VHostów w lokalnej domenie. Chciałbym jeden z nich (właściwie już mam ale tylko http - bez https) uruchomić z SSL i teraz uwaga mój serwer na którym znajduja się wszystkie dane DNS znajduje się .... 1000 km ode mnie i nie mam możliwości umieścić tam moich plików (tak byłoby pewnie łatwiej ale nie mogę) za to mogę stamtad przekierować domene do mojego ip. Jak już wspomniałem wszystko działa ale tylko http.
Gdzie powinienem umieścić certyfikat SSL żeby strona była zabezpieczona (port 443 otwarty). Czy certyfikat musi znajdować się na serwerze "tam" czy mogę to zrobić u mnie a jedynie w kontrolerze domeny dodać IP dla Https ?
(czy miejsce gdzie został wygenerowany certyfikat na znaczenie? - csr został wygenerowany na serwerze gdzie znajduja się pliki, nie na serwerze gdzie znajduje się DNS)
Może mnie ktoś oświecić jak to powinno wygladać ?

Mam nadzieję, że to co napisałem to nie jakaś koszmarna "bezsensowna papka" i rozumiecie o co pytam smile.gif

Pozdrawiam
...amator.
Go to the top of the page
+Quote Post
Pyton_000
post 24.04.2018, 09:50:36
Post #2





Grupa: Zarejestrowani
Postów: 7 506
Pomógł: 1323
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----


Cert powinien być tam gdzie wpada ruch od klienta bo to jest szyfrowanie klient serwer. Potem po trafieniu do serwera możesz robić co chcesz
Go to the top of the page
+Quote Post
phpamator
post 24.04.2018, 09:56:26
Post #3





Grupa: Zarejestrowani
Postów: 210
Pomógł: 3
Dołączył: 10.07.2016
Skąd: UK-raine

Ostrzeżenie: (0%)
-----


Czyli źródło danych (miejsce gdzie znajduja sie pliki) nie ma znaczenia tylko jak piszesz skad przychodzi klient znaczy tam gdzie DNS ?

Ten post edytował phpamator 24.04.2018, 09:57:38
Go to the top of the page
+Quote Post
Pyton_000
post 24.04.2018, 10:37:37
Post #4





Grupa: Zarejestrowani
Postów: 7 506
Pomógł: 1323
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----


uściślając IP na które kieruje domena.
Go to the top of the page
+Quote Post
phpamator
post 24.04.2018, 11:05:46
Post #5





Grupa: Zarejestrowani
Postów: 210
Pomógł: 3
Dołączył: 10.07.2016
Skąd: UK-raine

Ostrzeżenie: (0%)
-----


Czekaj, czekaj, czyli jak?

kontroler domeny znajduje się np tu 1.2.3.4 skad przekierowuje na adres gdzie fizycznie znajduje się strona czyli na 2.3.4.5
więc gdzie CERT ma być ?
Na 1.2.3.4
czy
2.3.4.5 ?
Jeśli na 2.3.4.5 to mam go tam i w konfiguracji VHost'a mam ścieżkę gdzie znajduje się certyfikat, wszystko skonfigurowane ale kiedy próbuję otworzyć https://2.3.4.5
pokazuje mi się jedynie strona Hostingu i nie przekierowuje mnie na mój serwer.
Czegoś nie kapuję albo ..... skopałem konfigurację albo coś jeszcze musi być właczone w kontrolerze domeny.


Ten post edytował phpamator 24.04.2018, 11:09:14
Go to the top of the page
+Quote Post
Pyton_000
post 24.04.2018, 11:07:24
Post #6





Grupa: Zarejestrowani
Postów: 7 506
Pomógł: 1323
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----


serwer DNS Cię nie interesuje wcale...


Interesuje Cię sama domena i gdzie ona kieruje. więc jeśli domena kieruje na 2.3.4.5 to tam ma być cert.
Go to the top of the page
+Quote Post
phpamator
post 24.04.2018, 11:40:38
Post #7





Grupa: Zarejestrowani
Postów: 210
Pomógł: 3
Dołączył: 10.07.2016
Skąd: UK-raine

Ostrzeżenie: (0%)
-----


Nie do końca więc rozumiem jak to działa ponieważ jakiś czas temu robiłem coś podobnego i umieściłem stronę na serwerze który był całkowicie odizolowany a certyfikat był na głównym serwerze skad było tylko przekierowania zrobione na IP.
Czyli certyfikat nie znajdował się tam gdzie dane/strona.
.....


Ten post edytował phpamator 24.04.2018, 11:42:15
Go to the top of the page
+Quote Post
by_ikar
post 24.04.2018, 11:59:57
Post #8





Grupa: Zarejestrowani
Postów: 1 796
Pomógł: 307
Dołączył: 13.05.2009
Skąd: Gubin/Wrocław

Ostrzeżenie: (0%)
-----


Szyfruje serwer, nie ty. Serwer HTTP, czyli apache/nginx, nie ty. Taki serwer musi mieć dostęp do certyfikatu i klucza prywatnego użytego do podpisania certyfikatu. Taki serwer się konfiguruje żeby używał certyfikatu i klucza do szyfrowania ruchu.

Certyfikat nie musi znajdować się tam gdzie znajdują się twoje serwery, bo "przed" serwerem może być loadbalancer/proxy który ten ruch będzie rozkładać pomiędzy serwerami i taki loadbalancer/proxy będzie szyfrować ruch.
Go to the top of the page
+Quote Post
phpamator
post 24.04.2018, 12:12:08
Post #9





Grupa: Zarejestrowani
Postów: 210
Pomógł: 3
Dołączył: 10.07.2016
Skąd: UK-raine

Ostrzeżenie: (0%)
-----


Czyli w moim przypadku rolę tego "balansera" będzie pełnił 1.2.3.4 i to on będzie pobierał dane z serwera gdzie trzymam zawartość strony (2.3.4.5) szyfrował i wysyłał do "klienta" ?

Jeśli tak to już rozumiem ...
... chyba tongue.gif

Ten post edytował phpamator 24.04.2018, 12:13:30
Go to the top of the page
+Quote Post
Pyton_000
post 24.04.2018, 12:46:17
Post #10





Grupa: Zarejestrowani
Postów: 7 506
Pomógł: 1323
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----


Może zacznij od zapoznania się z topologią wink.gif

Na wejściu masz klienta. Klient wklepuje adres mojadomena.com. Rządanie leci przez DNS providera (nie ważne) aż do serwera DNS gdzie jest podpięta domena (np 1.1.1.1)
Potem serwer DNS (1.1.1.1) odnajduje wpis dla domeny mojadomena.com i ma zapisane że ta domena jest serwowana pod adresem 2.2.2.2 więc tam leci request.

Jak request wpadnie do 2.2.2.2 to tam serwer HTTP sprawdza czy ma coś z tej domeny. Jeśli ma to negocjują połączenie. I na tym etapie wchodzi certyfikat.

Jak wcześniej napisałeś że wszedłeś pod IP i nie dostałeś strony to jest to normalne bo widocznie nie masz ustalonego kontraktu gdzie dany IP odpowiada konkretnej stronie więc serwer dał jakąś tam stronę (wg. reguł swoich i tego co ma tam zapisane w configach)

Ergo... certyfikat podpinasz pod tak na prawdę pierwszy serwer który serwuje zawartość (może być to serwer HTTP albo Loadbalancer) a co dalej się dzieje wew. serwera już cie nie interesuje bo tam może być równie dobrze połączenie tunelowane VPN do innego serwera skąd pobiera zawartość innym requestem)
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 25.09.2018 - 14:52