1. Trang chủ
  2. Câu hỏi và trả lời
  3. Chứng chỉ tự ký có hoạt động sau proxy ngược Apache không?

Chứng chỉ tự ký có hoạt động sau proxy ngược Apache không?

2012-09-17 7 views
5

Chúng tôi muốn sử dụng Apache làm proxy ngược của chúng tôi cho một tập hợp các máy chủ ứng dụng. Chúng tôi dự định sẽ nhận chứng chỉ SSL có chữ ký CA trên cá thể Apache nhưng muốn sử dụng chứng chỉ tự ký trên các phiên bản máy chủ ứng dụng (để Apache kết nối với máy chủ ứng dụng cũng được mã hóa). Chúng tôi không muốn cài đặt chứng chỉ SSL CA-signed trên các phiên bản máy chủ ứng dụng nếu chúng tôi không phải.Chứng chỉ tự ký có hoạt động sau proxy ngược Apache không?

Will Apache cho phép cấu hình này có chứng chỉ tự ký vào các trường hợp máy chủ ứng dụng?

Nguồn

2012-09-17 BestPractices

+0

Có lẽ điều này sẽ giúp: [SSLProxyCheckPeerCN] (http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslproxycheckpeercn)? – noodl

Trả lời

5

Nếu bạn có một bộ sưu tập lớn các máy chủ ứng dụng, nó sẽ có thể có ý nghĩa hơn để có CA nội bộ của riêng mình, thay vì phải quản lý từng chứng chỉ tự ký từng cái một.

Nếu bạn muốn kết nối giữa một reverse proxy Apache httpd và hạch nhân viên của mình để sử dụng HTTPS, bạn có thể cấu hình các chứng chỉ tin cậy bởi Apache httpd sử dụng SSLProxy* chỉ thị của mod_ssl (như tài liệu trong việc giới thiệu các tài liệu mod_proxy) , cụ thể là SSLProxyCACertificateFile.

Bạn sẽ cần phải sử dụng mod_proxy_http vì điều này, vì kết nối AJP không được thực hiện qua SSL/TLS.

Nguồn

2012-09-17 15:01:40 Bruno

+3

Điều này không trả lời được câu hỏi. Apache có cho phép các chứng chỉ tự ký trên các máy chủ proxy không? Vâng, từ một thiết lập thử nghiệm tôi có vẻ như nó chỉ hoạt động. Nó sẽ được tốt đẹp nếu có xác nhận chính thức này mặc dù. Trong thử nghiệm của tôi nếu tôi điều hướng trình duyệt web của tôi xung quanh proxy trực tiếp đến máy chủ proxy tôi được nhắc chấp nhận cert tự ký vì vậy tôi không mong đợi điều này để làm việc proxy thông qua Apache, nhưng nó đã làm. Tôi đã hy vọng tôi sẽ phải cập nhật kho khóa/kho lưu trữ Apache để bao gồm chứng chỉ tự ký, nhưng tôi thậm chí không phải làm điều đó. – Ryan

+1

@Ryan, tại sao điều này không trả lời được câu hỏi? Chỉ thị 'SSLProxy *' là những chỉ thị được yêu cầu và nó được ghi lại. Bạn nói đúng tôi không đề cập đến 'SSLProxyVerify' một cách rõ ràng, đó là không may' none' theo mặc định (bạn muốn 'require'), giá trị mặc định của 'SSLProxyCheckPeerCN' cũng đã thay đổi giữa Apache httpd 2.2 và 2.4. – Bruno

+0

Câu trả lời không rõ ràng với tôi ban đầu. Sau khi đọc tài liệu mod_ssl và mod_proxy, câu trả lời của bạn có ý nghĩa hơn rất nhiều. Các giá trị mặc định cho SSLProxyVerify và CheckPeerCN cũng giải thích lý do tại sao nó "chỉ hoạt động" mà không cần phải nói với Apache để tin tưởng vào cert tự ký. Có vẻ như tôi sẽ cần tìm ra các chỉ thị SSLProxyCA * để khiến Apache tin tưởng vào chứng chỉ tự ký của tôi – Ryan

 Các vấn đề liên quan

  • Không có vấn đề liên quan^_^