我们正在构建一个应用程序,我们希望以下任何内容都是 SSL:
secure.ourapp.com -> 所有页面都必须是 SSL(这可以通过 apache 中的 Vhost 来完成吗?)
www.ourapp.com/signup -> SSL www.ourapp.com/login -> SSL www.ourapp.com/information -> 不是 SSL
所以我的问题是:你能把 SSL 放在某些页面上而不放在其他页面上吗?或者它只在每个子域的基础上工作?
非常感谢你帮助我
AskOverflow.Dev
是的,有一些警告。
2 个 SSL 主机将需要不同的公共 IP 地址以实现最大兼容性。有基于名称的 SSL,但 Apache不支持。
没有什么可以阻止您在主站点上的所有页面上支持 SSL,并且只需使用
SSLRequireSSL相关/login区域来拒绝没有 SSL 的访问。然后,您可以简单地将人们https://从注册页面引导到http://离开登录页面时返回。如果你想变得更漂亮,你可以使用重写选项来重定向使用“错误”协议连接的人。我用 Lighttpd 做类似的事情。
是的。您需要 2 个证书,然后对要使用 SSL 保护的部分使用 SSLRequireSSL 选项。我建议对访问者使用重写比简单地拒绝访问特别是 /signup 的 HTTP 连接更友好。有关如何执行此操作的示例,请参阅此页面。