SSL用カスタムポートの使用

Question

私は現在、いくつかのWebサイト/ WebアプリケーションをデフォルトでHTTPSを使用するように移行する戦略に取り組んでいます。これらのアプリケーションはすべて、異なるホストヘッダーを使用し、同じサーバー上でホストされます。これを達成するにはいくつかの方法がありますが、最も実用的な方法は、一意のホストヘッダーごとに異なるポートを使用することです。

私の質問は本当ですか：どのように一般的なのは、カスタムポートでPUBLICウェブサイトを実行することですか？これらの要求がローカルのファイアウォールまたは企業のプロキシレベルでブロックされる可能性はありますか？

私は10年前にこれらのかなりの部分を見ていましたが、それ以来衰えてきているように見えますが、カスタムポートを使用しているWebサイトはめったにありません。

Answer 1

標準外のポートは、企業のファイアウォールやプロキシでブロックされる可能性があります。さまざまなポート番号を使用する代わりに、複数のIPアドレスを使用して（おそらく同じマシン上で）調査し、標準ポート443でサービスを提供することができます。

Answer 2

web.configを使用して、方法。他にもpost about the port problemが見つかりました。

<system.webServer> 
    <rewrite> 
    <rules> 
     <rule name="Redirect to HTTPS" stopProcessing="true"> 
     <match url="(.*)" /> 
     <conditions> 
      <add input="{HTTPS}" pattern="^OFF$" /> 
     </conditions> 
     <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" /> 
     </rule> 
    </rules> 
    </rewrite> 
</system.webServer> 

Answer 3

（おそらくServerFaultの上、より良い答えを見つけるだろう。）

ファイアウォールは、通常のポートのサブセットにインターネットの利用を制限するために使用されているので、多くの場合、できるだけ少数のポートに設定されます。これは常にそうとは限らず、環境に大きく依存しますが、通常のポート（HTTP、HTTPS、POP3、IMAP、POP3S、IMAPS、SSHなど）以外のポートはブロックされる可能性が非常に高いです。このような理由から、デフォルトのポート（通常は8443）にJavaコンテナ（Tomcatなど）を配備するのが一般的な問題です（ポート8443はUNIXシステムで使用するためにrootである必要がないため、

HTTPプロキシサーバーについても同様です。統計はありませんが、デフォルト設定を見ることができます。

For Squid：デフォルトでは

acl SSL_ports port 443 
http_access deny CONNECT !SSL_ports 

は、それだけで、443

同様に、ポート上（プロキシでHTTPS接続に使用されているものである）CONNECTを可能for TinyProxy：

ConnectPort 443 
ConnectPort 563 

（そして、私はポート563をHTTPSサーバーと一般的に言いますが、NNTPS用です。）

あなたの他のオプションは以下のとおりです。複数のサブジェクトの別名エントリで、このIPアドレス（あなたが提供する必要がある各ホスト名の有効な1）上の単一の証明書を使用して

• 。
• 複数のIPアドレスを使用する。
• Server Name Indicationを使用しても、Windows XP（およびいくつかのモバイルクライアントではIEのクライアントでは動作しませんが、私は思っています）。