Đã sửa lỗi!
SOL6912: Cấu hình một hồ sơ HTTP để ghi đè URL để chuyển hướng từ một máy chủ HTTP chỉ định giao thức HTTPS
Cập nhật: 8/7/07 00:00
Một ClientSSL máy chủ ảo thường được định cấu hình để chấp nhận các kết nối HTTPS từ máy khách, giải mã phiên SSL và gửi yêu cầu HTTP không được mã hóa tới máy chủ web.
Khi URI được yêu cầu không bao gồm dấu gạch chéo (dấu gạch chéo chuyển tiếp, chẳng hạn như /, ở cuối URI), một số máy chủ web tạo chuyển hướng lịch sự. Không có dấu gạch chéo, máy chủ web trước tiên sẽ xử lý tài nguyên được chỉ định trong URI dưới dạng tệp. Nếu không thể tìm thấy tệp, máy chủ web có thể tìm kiếm thư mục có cùng tên và nếu được tìm thấy, hãy gửi phản hồi chuyển hướng HTTP 302 trở lại máy khách bằng dấu gạch chéo. Chuyển hướng sẽ được trả lại cho máy khách trong chế độ HTTP thay vì HTTPS, khiến cho phiên SSL thất bại.
Sau đây là một ví dụ về cách phản ứng chuyển hướng HTTP 302 gây phiên SSL để thất bại:
· Để yêu cầu một phiên SSL, một loại sử dụng https://www.f5.com/stuff mà không có một dấu gạch chéo.
· Trình duyệt khách gửi yêu cầu SSL đến máy chủ ảo ClientSSL, nằm trên hệ thống BIG-IP LTM.
· Hệ thống LTM BIG-IP sau đó giải mã yêu cầu và gửi lệnh GET/stuff tới máy chủ web.
· Do tệp/tệp không tồn tại trên máy chủ web, nhưng thư mục/stuff/virtual tồn tại, máy chủ web gửi phản hồi chuyển hướng HTTP 302 cho thư mục nhưng gắn dấu gạch chéo vào tài nguyên. Khi máy chủ web gửi phản hồi chuyển hướng HTTP 302, nó chỉ định HTTP (không phải HTTPS).
· Khi khách hàng nhận được phản hồi chuyển hướng HTTP 302, nó sẽ gửi yêu cầu mới đến máy chủ ảo BIG-IP LTM chỉ định HTTP (không phải HTTPS). Kết quả là, kết nối SSL không thành công.
Cấu hình một hồ sơ HTTP để ghi đè URL
Trong BIG-IP LTM phiên bản 9.x bạn có thể cấu hình một hồ sơ HTTP để ghi đè URL để chuyển hướng từ một máy chủ HTTP chỉ định giao thức HTTPS. Để thực hiện việc này, hãy thực hiện quy trình sau:
Đăng nhập vào tiện ích Cấu hình.
Nhấp vào Lưu lượng truy cập cục bộ.
Nhấp vào Hồ sơ.
Nhấp vào nút Tạo.
Nhập tên cho cấu hình.
Chọn http từ trình đơn thả xuống Hồ sơ gốc.
Trong Cài đặt, thiết lập Redirect Rewrite to All, Matching, hoặc nút, tùy thuộc vào cấu hình của bạn
Ví dụ:
o Chọn All để viết lại bất kỳ HTTP 301, 302, 303, 305 hoặc 307 chuyển hướng đến HTTPS
o Chọn đối sánh để ghi lại chuyển hướng khi đường dẫn và thành phần truy vấn URI của yêu cầu và chuyển hướng giống hệt nhau (ngoại trừ dấu gạch chéo)
o Chọn Node để viết lại chuyển hướng khi chuyển hướng URI có chứa một địa chỉ nút IP thay cho tên máy chủ, và bạn muốn hệ thống để thay đổi nó đến địa chỉ máy chủ ảo
- Nhấp vào Hoàn tất.
Bây giờ bạn phải liên kết hồ sơ HTTP mới với máy chủ ảo ClientSSL.
Đây có thể là một câu hỏi kỳ quặc, nhưng là BigIP thay đổi URL trong bất kỳ cách nào khác? – Powerlord
Lúc đầu chúng tôi nghĩ như vậy, nhưng đó là một vấn đề dấu gạch chéo Apache cho chắc chắn ... –