- PR -

ページ単位のSSL設定の仕方について

1
投稿者投稿内容
かつや
ベテラン
会議室デビュー日: 2004/01/19
投稿数: 70
投稿日時: 2008-01-13 14:00
いつもお世話になっています。
平素はPGとして仕事しているのですが、SSLの設定を任されて行き詰ってます。
やりたいことは、「ページ単位」でSSL設定をすることです。
非SSL通信のページと、SSL通信のページが混在する感じです。

環境が下記になります。
WEBサーバ:IIS
JSP、サーブレットコンテナ:TOMCAT
フレームワーク:STRUTS
言語:JAVA
DB:ORACLE

何か足りない情報等あれば指摘願います。
ひら
ぬし
会議室デビュー日: 2005/03/04
投稿数: 260
投稿日時: 2008-01-13 18:05
前にも同様の質問をどこかで見たことあるような・・・

(IISとTOMCATの組み合わせは珍しいですね。)

SSLを設定するのはサーバ単位です。
そしてHTTPとHTTPSは混在させることができます。
SSLをかけたいページにはHTTPSで、そうでないページはHTTPでアクセスすれば
良いのではないでしょうか?

たとえば、SSLをかけたいページがaaa.htmlで、かけたくないページがbbb.htmlとしますと
最初に https://host/appname/aaa.htmlを呼び出し、
次にhttp://host/appname/bbb.htmlを呼び出します。

もし強制的にSSLをかけたいなら、プログラム内でフロトコルを知ることが
できますので、httpでアクセスしてきた場合にhttpsの同名ページに強制
リダイレクトをかければ良いと思います。
かつや
ベテラン
会議室デビュー日: 2004/01/19
投稿数: 70
投稿日時: 2008-01-13 18:40
返信ありがとうございます>ひらさん

ご指摘の内容は、JSPの<form>タグのaction属性に「https://***.***.co.jp/***.do」といった書き方をすれがいいってことでしょうか?

ひら
ぬし
会議室デビュー日: 2005/03/04
投稿数: 260
投稿日時: 2008-01-13 19:22
引用:

かつやさんの書き込み (2008-01-13 18:40) より:
ご指摘の内容は、JSPの<form>タグのaction属性に「https://***.***.co.jp/***.do」といった書き方をすれがいいってことでしょうか?

環境をよく見ていませんでした。すみません。strutsでしたね。
おっしゃる通りです。
まぁ坊
会議室デビュー日: 2003/06/10
投稿数: 2
投稿日時: 2008-02-17 17:06
引用:

かつやさんの書き込み (2008-01-13 18:40) より:
返信ありがとうございます>ひらさん

ご指摘の内容は、JSPの<form>タグのaction属性に「https://***.***.co.jp/***.do」といった書き方をすれがいいってことでしょうか?


(JSPはよく知らないのですが…)HTMLの<FORM>タグのACTION属性で「https://〜」を書く事で、確かに入力データがSSLで保護されて送信されます。しかしその入力フォーム自体も入力データの送信先と同じ証明書が使われるページとなっている必要が有ると思います。そうでなければ、その入力フォームに入力する人がデータを入力する前に証明書を確認する手段が無いからです。

# という事は、もしかして当然の話として省略されているのかな…。
1

スキルアップ/キャリアアップ(JOB@IT)