我有一个将流量路由到我的应用服务器的反向代理。
我在我的公共网站上具有通过HTTPS提供的登录功能。SSL证书仅安装在反向代理服务器中。我的应用服务器没有SSL证书。SSL卸载是在反向代理服务器中启用的。
这可以很好地工作,我可以通过HTTPS访问登录页面和成员区域。但是,我注意到我的会话cookie不安全...
我正在使用.NET成员资格提供者进行身份验证,这将生成 aspxauth session cookie,众所周知。我试图通过以下方式启用此cookie的httponly并固定标志
- 为Web.config中的表单身份验证变量添加需求= true
- 使用httponly and seedissl = true。添加httpcookie变量。
当我尝试登录时,第一个设置总是给我502错误。 502 -Web服务器在充当网关或代理服务器时收到了无效的响应。
第二个设置给了我httponly标志,但没有安全标志(我在测试此设置时禁用了第一个设置)。
如何解决这个问题..有些问题:
- 我需要在所有服务器中安装SSL,包括我的应用服务器吗?
- 是否有任何解决方法?
请建议。
P.S。
我正在使用IIS 7.5(反向代理)
应用程序请求路由(反向代理)
iis urlrewrite模块(反向代理)
IIS 8(App Server)
某些应用程序被编程为检测您是否正在使用HTTPS,并且由于实际的Web服务器正在处理启用卸载的HTTP请求,因此它会认为该请求不安全,并且通常是最终以重定向循环。
您可以通过在每个内容服务器上设置单个通配符证书并禁用SSL卸载来解决此问题。
[ARR01 -SSL证书] - [ARR02 -SSL证书]< - 访问者将在其浏览器中看到此SSL证书
| --- | --- | --- | --- | - | --- | - | - | - | - | --- | --- | --- | - | - | - | --- | - | - - | --- | --- | --- | --- | - |
[Content01-通配符SSL证书] - [Content02-通配符SSL证书]