我有一个反向代理,可将流量路由到我的应用程序服务器。
我的公共网站有登录功能,通过 HTTPS 提供服务。 SSL 证书仅安装在反向代理服务器中。我的应用服务器没有 SSL 证书。反向代理服务器中启用了 SSL 卸载。
到目前为止效果很好,我可以通过 HTTPS 访问登录页面和会员区域。但是,我注意到我的会话 cookie 不安全......
我正在使用 .NET Membership Provider 进行身份验证,这将生成ASPXAUTH众所周知,会话cookie。我尝试通过以下方式启用此 cookie 的 httponly 和 secure 标志:
- 在 web.config 中为表单身份验证变量添加 requiresl=true
- 添加 httpcookie 变量与 httponly 并要求sl=true。
当我尝试登录时,第一个设置总是给出 502 错误。502 - Web 服务器在充当网关或代理服务器时收到无效响应。
第二个设置给了我 httponly 标志,但没有提供 secure 标志(我在测试时禁用了第一个设置)。
如何解决这个问题..一些问题:
- 我是否需要在所有服务器(包括我的应用服务器)中安装 SSL?
- 有什么解决方法吗?
请指教。
P.S.
我正在使用 IIS 7.5(反向代理)
应用程序请求路由(反向代理)
IIS URL 重写模块(反向代理)
IIS 8(应用程序服务器)
某些应用程序经过编程可以检测您是否使用 HTTPS,并且由于实际的 Web 服务器正在处理启用了卸载的 HTTP 请求,因此它会认为该请求不安全,并且通常会陷入重定向循环。
您可以通过在每个内容服务器上设置单个通配符证书并禁用 ssl 卸载来解决此问题。
[ARR01 - ssl 证书] - [ARR02 - ssl 证书] |---|---|---|---|---|---|---|---|---|---|---|---|- --|---|---|---|---|
[Content01 - 通配符 ssl 证书] - [Content02 - 通配符 ssl 证书]
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
