C/C++ Forum :: HTTPS Problem unter IIS 6.0

MarcellusW Mitglied 20:19:47 08.09.2010 Titel:

Hallo zusammen,

ich habe aktuell ein Problem mit einer Webanwendung die über 2 Webserver verteilt betrieben wird, zu dem ich die Lösung bisher nicht ergooglen konnte. Ich hoffe jemand hatte bereits folgendes/ähnliches Problem:

Ich verwende Webserver A und B. Server A hostet neben anderen Dingen Javascripte, Stylesheets und Grafiken über HTTP.
Nun läuft meine Problem-Website auf Server B welche den auf Server A gehosteten Inhalt ins HTML einbettet.

Wird nun die Problem-Website auf Server B per HTTP aufgerufen werden alle eingebundenen CSS, Javascript und Grafikdateien korrekt eingebettet und der Browser gibt diese wieder.
Rufe ich selbige Website über HTTPS auf werden sämtliche Grafiken ausgeblendet. Ebenso werden Stylesheets und Javascripte nicht angewendet, da offensichtlich die auf Server A bereitgestellten Inhalte nicht erreicht werden können.

Server B wird unter Windows 2003 Standard R2 (x86) mit IIS 6.0 betrieben. Für HTTPS Verbindungen habe ich mittels OpenSSL ein eigenes Zertifikat erstellt und eingebunden. Zwar wird beim laden einer Website über HTTPS die Warnung eines nicht offiziell signierten Zertifikats ausgegeben, dies kann ich mir allerdings kaum als Ursache meines Problems herleiten.

Zudem finde ich nirgends eine Sicherheitseinstellung die Kommunikationen zu anderen Servern während einer SSL Verbindung unterbindet. Mit "nirgends" meine ich konkret die Eigenschaften der IIS Website (speziell den Reiter Verzeichnissicherheit), Gruppenrichtlinien oder Registrywerte. Die Windows-Firewall war bereits auch mal deaktiviert zum Test.

Vielen Dank bereits für eure Mühe der Unterstützung.

Chris

hustbaer Mitglied 00:44:41 09.09.2010 Titel:

Und lies mal da nach:
http://en.wikipedia.org/wiki/Same_origin_policy

Wäre es vielleicht möglich Server A und Server B zusammenzulegen, und alles über HTTPS zu machen?
Oder beide hinter einem entsprechend flotten Reverse-Proxy zu verstecken, so dass beide das selbe Protokoll, den selben Port und den selben Domain-Namen verwenden - also vereinfacht gesagt nach aussen wie ein Server "tun"?

p.S.: probier mal das Zertifikat zum Testen als "trusted" aufzunehmen. Dann sollte die Warnung weg sein.

MarcellusW Mitglied 10:27:39 09.09.2010 Titel:

Danke für deine Antwort. Der Verweis auf die same origiin policy ist recht hilfreich. Ich werde mich damit heute mal auseinander setzen.

Ich vergas zu erwähnen das ich testweise sämtlichen externen Inhalt von Server A auf Server B umkopiert habe und die Links dementsprechend auf die lokale Quelle gesetzt habe. Witziger Weise wird dann beim laden über HTTPS ein Windows Netzwerkanmelde-Fenster generiert.
Wird dies abgebrochen werden Bilder etc. weiterhin nicht geladen. Melde ich mich mit einem User an der Maske testweise mit Administratorrechten an baut sich die Seite wie unter HTTP auf. Über HTTP erscheint die Netzwerkanmeldung übrigens nicht...

hustbaer Mitglied 13:29:52 09.09.2010 Titel:

Naja, du musst halt bei IIS bei "Directory Security" auf "Anonymous" schalten. Und natürlich dort auch einen Account eintragen, der für anonyme Zugriffe verwendet werden soll, der auch die nötigen Rechte auf die Files hat.
Dann sollte das anmelde Fenster weg sein.