我正在尝试在SItecore管理员登录页面上实施SSL,您能否告诉我如何仅在除整个站点之外的管理页面上实施SSL。我不能使用通配符,因为sitecore登录的结构不同
答案 0 :(得分:3)
我不建议在没有其他限制的情况下沿着这条路线前行。虽然可以像patrickmjones所建议的那样使用SLL来保护站点的一部分,但是由于可能会有会话被劫持,因此不建议在单个站点中使用混合模式。如果你还没有读过 "Breaking the Web's Cookie Jar"以及他"Should All Web Traffic Be Encrypted?"的建议。特洛伊亨特的5 ways to implement HTTPS in an insufficient manner (and leak sensitive data)是一本很棒的读物,可以很好地洞察细微差别。特别是在这种情况下,如果有人劫持了您的会话,他们可以完全访问您的Sitecore管理会话,并可能对您的网站造成严重破坏。
相反,如果您要求您的管理部分是安全的,那么我会推荐以下其中一项:
此外,添加SSL加密不会成为问题,但不要依赖它作为唯一的保护形式。就个人而言,如果可能的话,我会尽量避免公开提供CMS服务器。
答案 1 :(得分:2)
我不能说这是否是推荐的,但这似乎是一个好主意,所以+1为此。
我可以通过在Web.config中为以下每个站点添加“port”值443来在我的测试台中实现此目的。
<site name="shell" port="443" virtualFolder="/sitecore/shell" physicalFolder="/sitecore/shell" rootPath="/sitecore/content" startItem="/home" language="en" database="core" domain="sitecore" loginPage="/sitecore/login" content="master" contentStartItem="/Home" enableWorkflow="true" enableAnalytics="false" analyticsDefinitions="content" xmlControlPage="/sitecore/shell/default.aspx" browserTitle="Sitecore" htmlCacheSize="2MB" registryCacheSize="3MB" viewStateCacheSize="200KB" xslCacheSize="5MB"/>
<site name="login" port="443" virtualFolder="/sitecore/login" physicalFolder="/sitecore/login" enableAnalytics="false" database="core" domain="sitecore" disableXmlControls="true"/>
第二部分和非Sitecore部分是为了确保您在IIS中安装了有效的服务器证书,并在IIS中为您的站点设置了正确的绑定以使用该证书。
完成后,您只需导航到https://mysite.com/sitecore即可访问后端,http://mysite.com/sitecore无效。如果你想要更重要的东西,比如你想要的重定向。