1. casa
  2. Domanda e risposta
  3. Un certificato autofirmato funziona dietro un reverse proxy Apache?

Un certificato autofirmato funziona dietro un reverse proxy Apache?

2012-09-17 30 views
5

Vogliamo utilizzare Apache come nostro proxy inverso per una raccolta di server di app. Abbiamo in programma di vedere un certificato SSL firmato dalla CA sull'istanza di Apache ma volevamo utilizzare i certificati autofirmati nelle istanze del server delle app (in modo che anche la connessione tra Apache e l'app fosse crittografata). Non vogliamo installare un certificato SSL firmato dalla CA nelle istanze del server delle app, se non è necessario.Un certificato autofirmato funziona dietro un reverse proxy Apache?

Apache consentirà questa configurazione di avere certificati autofirmati nelle istanze del server delle app?

fonte

2012-09-17 BestPractices

+0

Forse questo aiuterà: [SSLProxyCheckPeerCN] (http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslproxycheckpeercn)? – noodl

risposta

5

Se si dispone di una vasta raccolta di server di applicazioni, sarebbe probabilmente più sensato avere una propria CA interna, invece di dover gestire uno per uno ciascun certificato autofirmato.

Se volete i collegamenti tra un proxy inverso Apache Httpd e dei suoi nodi lavoratori di utilizzare HTTPS, è possibile configurare i certificati attendibili da Apache Httpd utilizzando i SSLProxy* direttive del mod_ssl (come documentato nell'introduzione della documentazione mod_proxy) , in particolare SSLProxyCACertificateFile.

Per questo motivo è necessario utilizzare mod_proxy_http poiché le connessioni AJP non vengono effettuate tramite SSL/TLS.

fonte

2012-09-17 15:01:40 Bruno

+3

Questo non risponde alla domanda. Apache abilita i certificati autofirmati sui server proxy? Bene, da una configurazione di prova ho sembra che funzioni. Sarebbe bello se ci fosse una conferma ufficiale di questo però. Nel mio test, se navigo il mio browser web attorno al proxy direttamente sul server proxy, mi viene richiesto di accettare il certificato autofirmato, quindi non mi aspettavo che funzionasse come proxy tramite Apache, ma lo ha fatto. Mi aspettavo di dover aggiornare il keystore/truststore di Apache per includere il certificato autofirmato, ma non ho nemmeno dovuto farlo. – Ryan

+1

@Ryan, perché questo non risponde alla domanda? Le direttive 'SSLProxy *' sono quelle richieste ed è documentata. Hai ragione, non ho menzionato esplicitamente 'SSLProxyVerify', che sfortunatamente' none' per impostazione predefinita (dovresti 'require'), il valore predefinito di' SSLProxyCheckPeerCN' è cambiato anche tra Apache Httpd 2.2 e 2.4. – Bruno

+0

Inizialmente non mi è stata chiara la risposta. Dopo aver letto la documentazione mod_ssl e mod_proxy la tua risposta ha molto più senso. I valori predefiniti per SSLProxyVerify e CheckPeerCN spiegano anche perché "funziona" senza che io debba dire ad Apache di fidarsi del certificato autofirmato. Sembra che avrò bisogno di capire le direttive SSLProxyCA * per fare in modo che Apache si fidi del mio certificato autofirmato – Ryan

Problemi correlati

 Problemi correlati