У меня есть обратный прокси-сервер, который направляет трафик на мой сервер приложений ..IIS7 Применение маршрутизации запросов HTTPS
Я войти в функцию на моем общедоступном сайте, который подается через HTTPS. Сертификаты SSL устанавливаются только на обратном прокси-сервере. Мой сервер приложений не имеет сертификата SSL. Развертка SSL включена на обратном прокси-сервере.
Это прекрасно работает до сих пор, я могу получить доступ к странице входа и области участника через HTTPS. Но я заметил, что мой сеанс cookie не безопасен ...
Я использую .NET Memberhip Provider для аутентификации, и это сгенерирует ASPXAUTH сеансовый файл cookie, как вы все знаете. Я попытался включить HTTPOnly и безопасный флаг для этого печенья по:
- добавив RequireSSL = TRUE для переменной проверки подлинности форм в web.config
- добавления переменной HttpCookie с HttpOnly и RequireSSL = истинным.
Первая установка всегда давала мне ошибку 502, когда я пытался войти в систему. 502 - Веб-сервер получил недействительный ответ, выступая в качестве шлюза или прокси-сервера.
Второй параметр дал мне флаг httponly, но не безопасный флаг (я отключил первую настройку при тестировании этого).
Как решить this..some вопросы:
- Нужно ли мне установить SSL на всех серверах, в том числе и моего сервера приложений?
- Есть ли обходной путь для этого?
Просьба сообщить.
P.S.
Я использую IIS 7.5 (Reverse Proxy)
ЗапросПрименение Routing (Reverse Proxy)
UrlRewrite Модуль IIS (Reverse Proxy)
IIS 8 (сервер приложений)
Да, правильно, я могу это подтвердить. Для приложений и прокси-серверов должны быть отключены SSL и SSL. – ronanray
Означает ли это, что вам нужно иметь сертификат SSL на сервере ARR? Я должен создать привязку, чтобы заставить ее отвечать на HTTPS. Но когда разгрузка SSL отключена, я получаю 502 запроса. – jinxen