Thuyết phục Apache của giao thức máy khách gốc

Question

Vì vậy, tôi có một ngăn xếp máy chủ tương đối thẳng về phía trước sử dụng tính năng tải xuống SSL và cân bằng tải HTTP. Thiết lập trông giống như sau:

(client) -> (SSL offload - stud) -> (balancer - haproxy) -> (http server - apache) 

Câu hỏi của tôi không phải là về việc cắm tất cả điều này lên. Nó hoạt động tuyệt vời, và tôi thành thật thổi bay đi ngay lập tức nó đã được thiết lập như thế nào. Tôi cũng sẽ thêm rằng các máy khách HTTP kết nối trực tiếp với haproxy, do đó bỏ qua SSL được tải xuống. Và đối với hồ sơ, có các đối tác dự phòng cho từng phần trên.

Sự cố hơi trừu tượng. Tôi sẽ bắt đầu với một cuộc biểu tình. Các khách hàng có yêu cầu thông qua các thiết lập để https://myserver.tld/scp (một số tiêu đề loại bỏ để giữ cho mọi thứ rõ ràng)

GET /scp HTTP/1.1 
Host: myserver.tld 
(headers added by haproxy) 
X-Forwarded-For: [original::client:ip] 
X-Forwarded-Proto: https 

Và server trả lời với

HTTP/1.1 301 Moved Permanently 
Date: Wed, 03 Jul 2013 03:16:25 GMT 
Server: Apache/2.2.15 (CentOS) 
Location: http://myserver.tld/scp/ 
Content-Length: 344 
Content-Type: text/html; charset=iso-8859-1 

Vì vậy, Apache mod_dir đang gửi một chuyển hướng đến cùng một URL với dấu gạch chéo. Đó là thích hợp để làm như vậy. Đó không phải là vấn đề. Vấn đề là giao thức HTTPS đã bị mất. Một lần nữa, tôi nghĩ Apache là đúng để chuyển hướng đến một URL HTTP, sau khi tất cả, kết nối nó nhận được từ ngăn xếp nói trên là một kết nối HTTP thường xuyên.

Vì vậy, từ quan điểm của Apache, máy khách đã yêu cầu kết nối HTTP thông thường. Cờ HTTPS bị tắt, cùng với tất cả các thông tin SSL khác, bởi vì phần SSL của phiên được xử lý bởi stud.

Mặc dù (bên trong Apache) Tôi có tiêu đề X-Forwarded-Proto hợp lệ, tôi không thể tìm cách báo cho Apache biết rằng kết nối máy khách gốc là HTTPS và thư mục cắt giảm chuyển hướng bằng mod_dir nên sử dụng giao thức https://. Tôi đang thiếu gì?

Điều duy nhất tôi đưa ra là viết lại tiêu đề Location bên trong haproxy cho các kết nối chuyển tiếp HTTPS để thay thế http:// với https://, nhưng tôi thực sự không nghĩ rằng cách tiếp cận đó rất thanh lịch. Tôi thích cho Apache (và (không làm tổn thương tôi) PHP tiếp tục xuống chuỗi) để được thông báo và xử lý kết nối như kết nối HTTPS bình thường.

Vui lòng trợ giúp!

PS - Tôi đã nghe nó nói trước đây nếu bạn phải hỏi, sau đó bạn đang làm sai. Có lẽ đó là vấn đề gốc ở đây, nhưng điều này có vẻ giống như một tình thế tiến thoái lưỡng nan đơn giản và tôi cảm thấy như là người duy nhất từng đến đây.

Answer 1

1. Chuyển hướng thư mục cắt giảm: Nội dung bạn muốn là mod_rewrite.

   RewriteEngine On 
   RewriteCond %{HTTP:X-Forwarded-Proto} =https 
   RewriteCond %{REQUEST_FILENAME} -d 
   RewriteRule ^(.+[^/])$   https://www.example.com/$1/ [R=301,L,QSA] 
   

   Nếu header được thiết lập để https và tên tập tin được yêu cầu là một thư mục (-d), sau đó viết lại đó (thay thế example.com với tên miền riêng của bạn).

2. Như để làm PHP đối xử với các kết nối như một kết nối HTTPS thông thường, thiết lập các biến môi trường HTTPS để on:

   SetEnvIf X-Forwarded-Proto https HTTPS=on 
   

Answer 2

Bạn có thể làm điều này bằng cách bao gồm các giao thức trong file hướng dẫn ServerName:

ServerName https://my-server-name 

Theo Apache docs:

Đôi khi, máy chủ chạy phía sau thiết bị xử lý SSL, chẳng hạn như proxy ngược, trình cân bằng tải hoặc thiết bị tải SSL. Trong trường hợp này, hãy xác định lược đồ https: // và số cổng mà khách hàng kết nối trong chỉ thị ServerName để đảm bảo rằng máy chủ tạo các URL tự tham chiếu chính xác.