Drupal area di amministrazione e login, proteggendoli con HTTPS

Ho letto molto su questo e ho provato molti dei metodi che ho trovato e non sono ancora riuscito a far funzionare correttamente nulla.

Voglio essere in grado di proteggere l'area di amministrazione e le pagine di accesso associate. Quindi, qualsiasi cosa in example.com/admin/* o example.com/user/* ecc. Deve passare su SSL / TLS. Vorremmo che questo si applichi a ciascun sito durante l'installazione di più siti. Quindi esempio1.com, esempio2.com, esempio3.com sono tutti sullo stesso account server / utente.

Il set up

• Drupal 7 multi sito
• URL puliti abilitati
• PHP 5.3
• MySQL v14 d5
• apache2

Appunti

• Securepages non è un'opzione, poiché non esiste una versione stabile di Drupal 7 e l'utilizzo della versione di sviluppo esistente richiede l'applicazione di patch a Drupal Core, il che va contro la nostra politica
• Ho provato la Sessione 443 senza successo
• Ho provato l'accesso sicuro senza successo
• Un certificato SSL (per ora autofirmato, durante il test) è installato e funziona sul server per altri scopi, non Drupal.
• Ho letto tutti i documenti su Drupal.org sull'abilitazione di HTTPS e ho tentato di seguire le indicazioni lì con scarso successo
• Ho attivato l'impostazione $ conf ['https'] in settings.php senza risultati riconoscibili.

Le domande

Se abilito HTTPS per tutto su un sito, ottengo un 404 per qualsiasi cosa tenti di passare attraverso https: //, il che mi porta a pensare che le regole di riscrittura non si stiano applicando per le pagine https. Cosa mi sto perdendo qui? Esiste una condizione / regola di riscrittura che posso aggiungere a htaccess per risolvere questo problema?

Non è questo un problema risolto nella comunità di Drupal? Le persone stanno lasciando le loro aree di amministrazione non sicure, con le password degli utenti inviate in chiaro? Lo trovo difficile da credere, eppure sembra che non ci sia una soluzione integrata o comunemente nota al problema.

Non è la domanda che hai posto, ma la risposta più semplice è che dovresti semplicemente cambiare la tua politica.

Il core "hacking" (patching) ed esecuzione di versioni instabili è la realtà della gestione di un sito Web.

Le due patch necessarie per le pagine sicure richiedono spesso ripetizioni, revisioni o miglioramenti. Fatti coinvolgere in quel ciclo e aiutali a renderli stabili.

Ho usato le seguenti impostazioni per toglierlo ... e non avevo bisogno di un modulo per farlo. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

E voooala !! questo farà viaggiare tutto il traffico http su https comprese risorse come js e css. Se desideri sottodomini, assicurati di aggiungere le direttive ServerAlias ​​appropriate nei file vhosts.

Uso il modulo SSL di Ubercart che è un modulo fantastico, sebbene abbia un nome orribile . Non è necessario eseguire Ubercart per sfruttare questo modulo che è molto stabile e facile da usare.