容器云问题3:开启SNI解决SSL证书匹配问题

最新推荐文章于 2024-07-24 10:52:21 发布
最新推荐文章于 2024-07-24 10:52:21 发布
阅读量1.7k 收藏
点赞数
分类专栏: 容器云 文章标签: SNI 容器云 SSL证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/finded/article/details/100068385
版权

容器云问题3:开启SNI解决SSL证书匹配问题

SNI指是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时(具体说来,是客户端发出SSL请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

SSL网站用的证书,提交到web服务器时,原本设计的是按服务器IP+端口来提交的。这样就造成了同一服务器IP的443端口,只能用一个证书。这样设计比同一IP和端口的,多主机头设计差太多。于是提出SNI标准,以后新的SSL和服务器,允许用主机头 + 端口方式提交到同一个服务器上,这样就灵活多了。

容器云的情况下,经常会出现证书无法匹配的问题,因为容器云的架构中,入口一定有一个ALB(如F5),然后再转发到对应的容器云入口。一般证书也是安装在容器云内部的某个负载均衡组件上,使用的是同一IP和端口。

因此我需要在外层ALB(如F5、API网关等组件)开启SNI,解决容器云环境下,多SSL证书时请求无法正确匹配问题。

参考:
http://blog.sina.com.cn/s/blog_53e6076b0102vunu.html

蓝亦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【网络进阶】网络问题排查实例集锦(实战经验分享)
dvlinker的技术专栏
05-08 3万+
本文详细讲述了实际项目中遇到的多个网络问题的排查过程,以供参考!
Docker使用 linuxserver/letsencrypt 生成SSL证书最全解析及实践
javarrr的博客
01-23 1293
本文使用 HTTP 和 DNS 两种校验方式对 Docker 下 linuxserver/letsencrypt 项目进行了实践。生成SpringBoot可用证书,使用 Nginx 的 htpasswd 来对网站进行密码保护,并测试使用 fail2ban 防止 htpasswd 被暴力破解。全文基于 linuxserver/letsencrypt 文档及其他官方资料,根据作者实践进行详细解析和记录...
OpenSSL-SNI
Remy的学习记录
09-14 1万+
一、    什么是SNI?     SNI是Server Name Indication的缩写,是为了解决一个服务器使用多个域名和证书SSL/TLS扩展。它允许客户端在发起SSL握手请求时(客户端发出ClientHello消息中)提交请求的HostName信息,使得服务器能够切换到正确的域并返回相应的证书。     在SNI出现之前,HostName信息只存在于HTTP请求中,但SSL/TL
低版本的 apache 配置ssl证书如何开启 SNI
weixin_50512016的博客
12-11 538
1.首先找到ssl的相关配置文件,示例:httpd-ssl.conf,ssl.conf 等 2.在 <VirtualHost _default_:443> 此行内容上面添加以下两行语句: NameVirtualHost *:443 SSLStrictSNIVHostCheck off 示例:
Nginx HTTPS反向代理,开启SNI,proxy_ssl_server_name 和proxy_ssl_name介绍
最新发布
zzhongcy的专栏
07-24 687
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
SNI: 实现多域名虚拟主机的SSL/TLS认证
上善若水,水善利万物而不争。
02-20 1万+
一、介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域
java怎么使用sni,启用SNI扩展的SSL握手 - 服务器上的证书选择
weixin_32968105的博客
03-13 970
SSL握手期间,当在客户端中启用SNI扩展时,服务器不会选择并将所需的证书呈现给客户端 .我有一个证书链,我已经导入到服务器上的JVM密钥库 .由内部中间发布CA颁发的服务器证书 .主题:CN = myserver.example.com内部根CA颁发的中间证书 .X509v3 Key Usage:Digital Signature, Certificate Sign, CRL SignX509...
SSL / TLS协议解析!SNI 识别
chen1415886044的博客
05-01 6875
自Web诞生以来,我们所接触的互联网时代,都有可能存在信息的截断,而SSL协议及其后代TLS提供了加密和安全性,使现代互联网安全成为可能。 这些协议已有将近二十多年的历史,其特点是不断更新,旨在与日趋复杂的攻击者保持同步。 什么是SSL!什么是TLS! SSL代表安全套接字层,该协议是由Netscape于1990年代中期开发的,Netscape是当时最受欢迎的Web浏览器。SSL 1.0从未向公众发布,而SSL 2.0具有严重的缺陷。1996年发布的SSL 3.0进行了彻底的改进,为后续工作奠定了基础。 而
云原生架构下的 API 网关实践: Kong (二)
aoho求索
08-26 725
Kong 是 Mashape 开源的一款云原生架构下的分布式 API 网关,其性能和可扩展性在同类组件中,表现都很优异。Kong 官方提供了很多直接可用的插件,此外,Kong 还可以通过插件扩展已有功能。 本文的主要内容: 什么是云原生网关? Kong 介绍 Kong 的基本架构 使用 Kong 构建服务网关 几种常用插件应用 自定义插件的实践 文章篇幅较长,后半部分内容将会在下一篇文章介绍,...
Kubenetes(3)--网络通信(3)--ingress部署、域名解析、TLS、以及认证和地址重写
Jelly
04-09 3228
一、ingress简介 官网参考:https://kubernetes.github.io/ingress-nginx/ Ingress是一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes 里的 Ingress 服务。 Ingress的组成:Ingress controller、Ingress。 Ingress Controller 会根据你定义的 Ingress 对象,提供对应的代理能力。业界常用的各 种反向...
栋的月结 | 第一回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
02-01 2168
开篇词 大家好!以下是我在 2020 年 1 月 1 日至 31 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 栋的周评 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《一文搞定 |...
C语言使用openssl库解析TLS报文(SNI证书)
Chuancey的博客
02-15 7443
项目中需要对TLS报文中SNI证书部分进行过滤,并且之前并没有接触过这方面的内容,为了解决这一需求,期间学习了不少知识,也走了不少弯路。就写下这篇博客记录分享一下。项目背景:项目是一个类似防火墙的软件,可以过滤特定的TLS流量。实现原理就是通过对TLS数据包流量进行解析,得到想要过滤的字段数据,根据过滤规则决定是否放行该TLS流量。本次需要过滤的TLS数据包主要针对SNI证书,TLS报文的版本为1.2。使用版本为1.0.2k的openssl库进行C编程。
HTTPS那些协议:TLS, SSL, SNI, ALPN, NPN
热门推荐
幻听
06-01 1万+
如今 HTTPS 已经普遍应用了,在带来安全性的同时也确实给 Web 引入了更多复杂的概念。这其中就包括一系列从没见过的网络协议。现在 Harttle 从 HTTPS 的原理出发,尝试以最通俗的方式来解读 HTTPS 涉及的这些协议。作者:佚名来源:harttle.land|2018-03-26 14:19 收藏  分享人工智能+区块链的发展趋势及应用调研报告如今 HTTPS 已经普遍应用了,在带...
java怎么使用sni,如何设置使用SNI提供两个SSL证书的Tomcat?
weixin_32921457的博客
03-13 569
小编典典您需要重新阅读这些问题的答案。直到Java8,服务器端才支持SNI。Tomcat8必须支持的最低Java版本是Java7,因此,目前在Tomcat中尚无SNI支持。如果Tomcat在Java 8或更高版本上运行,则可以有选择地支持SNI,但是这需要在Tomcat中更改代码(目前尚无计划)。截至2014年12月的更新:在Tomcat 9 的TODO列表中添加了SNI支持。该TODO列表很长,...
HTTPS-SSL/TSL与SNI的关系以及同IP多域名虚拟主机的SSL/TSL认证
weixin_34256074的博客
10-23 304
早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以...
中国72%的个人电脑仍然使用Windows XP- SSL/SNI 问题
weixin_33802505的博客
10-15 122
很难相信,自微软发布WindowsXP之后,已经度过了12年。 尽管一直以来,该系统都存在安全问题,还需要每日进行更新,但是该系统仍然算得上是一个好的操作系统。在被新版本,如Vista,Windowws 7, 甚至最新的Windows 8取代之后,微软宣布自2014年4月后将最终停止对WindowsXP的支持。这个消息很重要,因为在中国有72%用户仍然使用XP系统!这主要是因...
HTTPS之SNI介绍
任我行的博客
06-30 2836
1. 介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,默认一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。 在HTT
linux如何开启sni服务,Nginx开启单IP多SSL证书支持-TLS SNI support
weixin_36329939的博客
05-03 885
Nginx支持单IP多域名SSL证书需要OpenSSL支持,由于CentOS5.X系统自带的OpenSSL版本太低不支持,所以首先需要编译安装一个高版本的openssl,CentOS 6.X的系统自带的openssl版本大于0.98以上,一般编译好的nginx都是支持的。检查nginx是否支持TLS SNI support:/usr/local/nginx/sbin/nginx -Vnginx v...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蓝亦

感谢博主辛勤的付出

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值