如何在 Apache HTTPD 服务器中配置传输机密?

如何在 Apache HTTPD 服务器中配置传输机密?

VirtualHost我们的 Apache 2.2 服务器配置中只有一个:

<VirtualHost _default_:443>

我们的客户希望能够在浏览器中仅输入 HTTP 中的服务器名称(例如 10.10.0.1),服务器将自动重定向到 HTTPS。因此,我们需要添加一项附加功能VirtualHost并使用以下命令配置重定向到 HTTP RewriteEngine

<VirtualHost *:80>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteCond %{REMOTE_HOST} !^127\.0\.0\.1.*$
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</VirtualHost>

问题:是否可以在 Apache HTTPD 服务器中配置传输机密?我们希望找到类似于以下 web.xml 配置的配置:

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

添加

我们的要求:我们要 100% 确保即使我们为 HTTP 连接打开了端口 80(允许非加密连接),也无法从端口 80 发送或接收任何数据。在 Java 中(请参阅下面的 Java 定义),如果配置了 CONFIDENTIAL 并且服务器配置了加密和非加密连接(HTTP 和 HTTPS),则仅使用 HTTPS。

我们希望找到允许类似配置的类似配置/Apache 模块。

http://docs.oracle.com/javaee/5/tutorial/doc/bnbxw.html当应用程序要求传输数据以防止其他实体观察传输的内容时,指定 CONFIDENTIAL。

答案1

我并不是一名 Java 专家,但据我所知,传输保证机密意味着数据在传输过程中将被加密,以便其他人无法读取它。

如果是这样,那么通过将每个人重定向到 SSL(基本上意味着加密),您已经做到了这一点。

扩展上述答案:

Apache 配置与 Java 配置有着根本的不同,因此您无法总是将一个概念从另一个概念转移过来。不幸的是,这是概念无法真正很好地转换的情况之一。除非您命令,否则 Apache 不会加密端口 80 上的流量,这对浏览器来说并不友好。您可以做的是确保端口 80 上发生的唯一流量是一件事 - 无论用户尝试访问什么,都应该重定向到 SSL 站点。这意味着 apache 将不会在端口 80 上提供任何页面、脚本或代理流量。(除非您允许来自本地主机的非加密流量,我认为这是故意的。)

补充一下,我在银行工作。将端口 80 重定向到端口 443 是我们强制加密某些站点流量的方法。这种方法从未允许非加密流量通过。

如果您想确保万无一失,您可以设置一个完全独立的 apache 配置目录,该目录仅侦听端口 80,并将其 DocumentRoot 设置为 /var/www/notwanted/,它本身只包含带有重定向的网页。这样,您就可以将两个实体保持得更加独立,使用单独的日志文件等。从技术角度来看,我认为这没有必要,但它可能会使服务的管理变得更容易一些。

答案2

Rewrite Engine 非常强大,但可能超出您的需求。我只会使用 Redirect 指令,因为它更易于理解和阅读。

<VirtualHost *:80>
    Redirect 301 / https://www.whateverthewebsiteiscalled.com/
</VirtualHost>

如果您确实想使用 RewriteEngine,您需要在最后进行一些操作以将其转变为 301 重定向。

<VirtualHost *:80>
    RewriteEngine On
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</VirtualHost>

无论如何,我认为您不需要任何 RewriteConds 来添加任何有用的东西。进入端口 80 已经将其标识为标准 HTTP。

相关内容