Администратор Drupal и логин, их защита с помощью HTTPS

Я много читал об этом и пробовал многие методы, которые нашел, и пока не смог заставить что-либо работать должным образом.

Я хочу иметь возможность защитить область администратора и связанные страницы входа в систему. Поэтому все, что находится в example.com/admin/* или example.com/user/* и т. Д., Должно проходить через SSL / TLS. Мы хотели бы, чтобы это применялось к каждому сайту с настройкой мультисайта. Таким образом, example1.com, example2.com, example3.com находятся на одной учетной записи сервера / пользователя.

Настройка

• Drupal 7 multi site
• Чистые URL включены
• PHP 5.3
• MySQL v14 d5
• Apache2

Примечания

• Securepages не вариант, так как нет стабильной версии Drupal 7, а для использования существующей версии dev необходимо установить исправление Drupal Core, что противоречит нашей политике
• Пробовал сессию 443 безуспешно
• Попытка безопасного входа без успеха
• Сертификат SSL (самоподписанный на данный момент во время тестирования) установлен и работает на сервере для других целей, но не для Drupal.
• Я прочитал все документы на Drupal.org о включении HTTPS и пытался следовать указаниям там с небольшим успехом
• Я переключил параметр $ conf ['https'] в файле settings.php без видимых результатов.

Вопросы

Если я включаю HTTPS для всего на сайте, я получаю 404 за все, что пытается пройти через https: //, что заставляет меня думать, что правила перезаписи не применяются для страниц https. Что мне здесь не хватает? Есть ли условие / правило перезаписи, которые я могу добавить в htaccess, чтобы это исправить?

Разве это не решенная проблема в сообществе Drupal? Люди просто оставляют свои административные зоны незащищенными, а пароли пользователей отправляются в открытом виде? Мне трудно в это поверить, но кажется, что нет встроенного или общеизвестного решения проблемы.

Это не вопрос, который вы задали, а самый простой ответ: вы должны просто изменить свою политику.

«Взлом» ядра (исправление его) и запуск нестабильных выпусков - это реальность работы сайта.

Два исправления, необходимые для защищенных страниц, часто нуждаются в повторных проверках, обзорах или улучшениях. Примите участие в этом цикле и помогите им стать стабильными.

Я использовал следующие настройки для этого ... и мне не нужен был модуль для этого. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

И воооала !! это заставит весь http-трафик проходить через https, включая такие ресурсы, как js и css. Если вам нужны субдомены, обязательно добавьте соответствующие директивы ServerAlias ​​в файл (ы) vhosts.

Я использую модуль Ubercart SSL, который является фантастическим модулем, хотя он ужасно назван . Вам не нужно запускать Ubercart, чтобы воспользоваться преимуществами этого модуля, который очень стабилен и прост в использовании.