12. september 2007 - 12:55Der er
31 kommentarer og 1 løsning
Hvordan kan jeg hente sider fra min webserver via HTTPS
Ved godt at dette måske ikke er den bedste kat. til mit spm., men jeg kunne ikke lige gennemskue hvad der var den mest oplagte.
Jeg har igennem mange år udviklet webshop løsninger med online betaling gennem diverse betalingsgateways hvor jeg typisk har brugt en form for relay hos udbyderen således at min egen-designede betalingsformular blev hentet og vist fra betalingsudbyderens webserver via en krypteret forbindelse HTTPS.
Nu er jeg nået dertil hvor jeg egentlig godt kunne tænke mig at kunne kalde betalingsformularen direkte fra egen server, men jeg har absolut ingen anelse om hvad der i praksis skal til for at jeg kan sende en sideforespørgsel via HTTPS til min webserver.
Så jeg søger en simpel overskuelig oversigt/guide til hvordan jeg griber det an i praksis - hvad skal jeg bruge/købe og hvad skal jeg foretage af opsætning på serveren ?
jeg bruger bl.a. www.quickpay.dk og jeg har også godt set at de udbyder udstedelse af ssl certifikater som produkt/ydelse. Jeg har bare været i tvivl om det var det eneste der skulle til...
Og når man nu engang har købt et sådan certifikat, er installationen/opsætningen så nem eller kompliceret ?
Og er der en hårdere belastning af webserveren ved ssl kald (det går jeg stærkt ud fra er tilfældet)
jeg tror ikke at det er specielt svært at lave (kender ikke quickpay), det er jo "bare" alm .asp sider, men det kræver at webserveren har certifikatet installeret...
ja selvf. vil det kræve mere af serveren da den skal kryptere siderne, men det er nok ikke noget problem for en "moderne" webserver.
Hvis du lagde hele siden med store billeder osv. under https/ssl vil du nok kunne se en performance "downgrade"...
Men inden du køber et certifikat (de er jo dyre) kan du jo prøve at bestille en gratis fra rapidSSL, som jeg linkede til. Så kan du jo prøve at sætte det op, uden at det koster dig noget. Du kan altid skifte til en anden udbyder efter prøvetiden.
Har selv et wildcard SSL fra rapid, og der er opsætningen lidt anderledes and til almindelige, men de var virkelig gode til at hjælpe mig igennem opsætningen.
Nu kommer du jo ind på noget interessant som jeg helt havde glemt. Knytter et certifikat sig specifikt til webserveren (med mange domæner) eller til et enkelt domæne ?
Det er jo temmelig afgørende om kan skal købe et nyt certifikat til hver eneste kunde/domæne
fennec > Ja, jeg er med på at der kan være installeret mange certifikater på een server, men så bliver det jo pludselig dyrt og besværligt hvis jeg skal bestille et certifikat til hver eneste kunde...
Men hvis certifikatet identificerer/bekræfter den enkelte kunde, kan jeg godt se at det jo nok ikke kan være anderledes :-(
kan man forestille sig at jeg køber en licens til mig eget firmas domæne og dernæst placerer en betalingsformular skabelon på domænet, som alle minder kunder således dirigeres igennem, for at skulle undgå at købe et certifikat til hver eneste kunde ?
Er der nogen problemer i det, eller er det måske ligefrem "ulovligt"...?
krogstrup, det er jo fordi den ikke er oprettet under et af de anerkendte som f.eks. verisign osv, så man skal selv vurdere sikkerheden i det. - men det er jo gratis :D
øh, ja - men det hjælper jo ikke meget hvis jeg skal bruge det for mine kunder i e-handel mæssig sammenhæng. Så må en sådan besked ikke fremkomme under nogen omstændigheder.
cpufan-> det skal være et "ægte" (trusted fra verisign eller lign.) certifikat før at pbs godkender det, ellers kan du ikke bruge det. Men ja, det krypterer Jeg har selv mit eget ssl certifikat på min server men jeg skal selv installere og "truste" det før jeg slipper for fejl (men jeg stoler jo også på min egen server)
ja rigtigt - derfor er der så få der selv kører ssl med deres shops, de kører istedet for med de tunnels, som betalingsgateways tilbyder, og så er man jo som webhotel også ovre det problem med certifikat til hvert domæne som kører cc-pay. det er dyrt at holde et certifikat i drift, og mange der har disse certifikater har også problemer med at der dukker advarsler op af den ene eller den anden grund.
Jeg kunne vel i teorien købe et wildcard certifikat og så opsætte alle minde webshop kunders site i IIS´en med 2 hostheadere:
1) kundens eget domæne 2) et subdomæne under mit "betalingsdomæne" ala kundenavn.mitfirma.dk (hvortil der altså er tilknyttet et certifikat pga wildcard´et)
Når jeg så i shoppingproccesen skal sende brugeren videre til betalingsformularen kan jeg bare kalde siden på det alternative domæne: https://kundenavn.mitfirma.dk
På den måde bibeholder jeg alle sider i een og samme mappe/opsætning og skal ikke til at hente eller kalde eksterne formularer.
Det vil selvfølgelig kræve at jeg sender lidt data frem og tilbage via querystrings eftersom jeg springer mellem 2 forskellige domæner, men mon ikke det burde kunne fungere.
Det ville vel give mig et dynamisk løsning hvor eet certifikat kan bruges til alle mine kunder...?
ok - tak for linket. Det er nemlig præcis samme opsætning vi kører med på vores webservere. Nu har jeg ikke kigget på guiden endnu, men er det tilgængeligt for en "dødelig" asp programmør at foretage opsætningen...?
Glæder mig i øvrigt til at komme i gang med dette setup - synes det lyder til at være en rigtig god løsning.
fennec, hvor længe har du brugt rapidSSL.com - er det et firma man kan regne med og er supporten i orden (hvis den slags altså er nødvendig i forbindelse med et certifikat..) ?
Vi har brugt SSL fra rapidSSL i lidt over 6 måneder nu. De var rigmelig gode til support, dog primært ved at henvise til guides på nettet, så som det link jeg lige gav dig (det var fra dem).
Selve bestillingen af SSL'et og indlæsning af det på serveren håndterede vores teknikere, så det kan jeg ikke hjælpe dig med, men alt med opsætning på domænerne i IIS'en og SecureBindings lavede jeg, så det kan jeg godt guide dig i.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
