Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: постоянное использование https
- To: nginx-ru@xxxxxxxxx
- Subject: Re: постоянное использование https
- From: Sergey Shepelev <temotor@xxxxxxxxx>
- Date: Fri, 12 Jun 2009 12:51:52 +0400
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=Z2gTmzUl3PV3LCxzAWgwrTj6ZCYCpW3RRvUTYaxMcx8=; b=IJaBs+gMDo6H7lKNH1+jUWRB0Q8l53cWQzldqzR0CbF9sBhbK0wklGAlTiRQvKP7I8 QXY/5Roy+geO/GUngFX0AAh08s6yjbcvUe13E3HSw8zM7s9TzxLZmmXEa+TONsZaHyQN cTyFZD218lHqv4Cbm3fChL9cUfzhN2HQHzu7I=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=PHhY/yCkcWftencjqJE2zarMuenORVhzaBLajEj99Cf8AESN2AxVA0OskXUCLxD30K V0XBl+JUodoeTEef8CtRVOJS29DpK24KCGhxAGc9EJqqDK3vOeKHArBAy4W/UfUY8Nwx cQ3hS1N7lNtY6mnsX3SMRIGq6fSrY/JGwtUA4=
- In-reply-to: <230951244794869@xxxxxxxxxxxxxxxxxxxx>
- References: <194251244791312@xxxxxxxxxxxxxxxxxxx> <2d8fb9950906120058q6ffe8awc738d12b8fc7d00@xxxxxxxxxxxxxx> <230951244794869@xxxxxxxxxxxxxxxxxxxx>
2009/6/12 umask <umask@xxxxxxxxx>:
>
>
> 12.06.09, 11:58, "Sergey Shepelev" <temotor@xxxxxxxxx>:
>
>> Именно вся работа с приложением должна быть по HTTPS или достаточно
>> чтобы юзеры ходили по HTTPS, а nginx к апачу по HTTP?
>
> Работа юзерских браузеров должна вестись через HTTPS.
> Приложение (бэкэнд - это apache tomcat, а не httpd) работает без SSL и
> поддержку SSL в нем включать крайне не хочется, не нужно, да и пока
> невозможно.
>
Во.
Значит вас должен устраивать примерно такой конфиг
server {
listen 443;
ssl on;
bla-bla-ssl-options...
location / {
proxy_pass http://apache;
--------------------^^^^^^^^ томкат не знает про https, клиенты не
знают про http
}
}
>> Странно же хотеть, два шифрования:
>> user [SSL] - nginx [SSL] - apache
>> Куда лучше:
>> user [SSL] - nginx - apache
>
> А вот этой мысли вообще не понял :).
> Шифрование поддерживается и на стороне клиента и на стороне сервера (nginx в
> данном случае).
>
>
>> 2009/6/12 umask <umask@xxxxxxxxx>:
>> > Добрый день,
>> >
>> > Есть nginx и бэкэнд в виде apache tomcat. Под томкатом работает SSO
>> > (single sign on) приложение (оно коммерческое и изменить его поведение не
>> > представляется возможным).
>> >
>> > Нужно чтобы вся работа с этим приложением велась через nginx+SSL.
>> > Поддержка SSL на уровне nginx работает отлично. Но вот бэкэнд при первом
>> > заходе пользователя на https://test.ru/ отдаёт:
>> >
>> > HTTP/1.1 200 OK
>> > Server: nginx/0.7.55
>> > Date: Fri, 12 Jun 2009 07:16:06 GMT
>> > Content-Type: text/html
>> > Connection: keep-alive
>> > Keep-Alive: timeout=240
>> > ETag: xxxxxxxxxxxxxx
>> > Last-Modified: Thu, 16 Apr 2009 16:14:40 GMT
>> > Content-Length: 234
>> >
>> > <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"
>> > "http://www.w3.org/TR/html4/loose.dtd";>
>> > <html>
>> > <head>
>> > <meta http-equiv="refresh" content="0;url=http://test.ru/test/";>
>> > </head>
>> >
>> > <body>
>> > </body>
>> > </html>
>> >
>> > И браузер следует по незащищённой ссылке.
>> >
>> > Соответственно, proxy_redirect не работает. Сделать хак через
>> > ngx_http_sub_module не получилось.
>> > Подскажите, как сделать так, чтобы всегда использовался https независимо
>> > от того, что отдаёт бэкэнд?
>> >
>> > К сожалению сделать так, чтобы бэкэнд тоже работал с поддержкой SSL в моём
>> > случае невозможно.
>> >
>> >
>
>
|
