Un certificat auto-signé de travail derrière un Apache en reverse-proxy?
Nous voulons utiliser Apache comme notre proxy inverse pour une collection de serveurs d'application. Nous avons l'intention de se une autorité de certification-signature de certificat SSL sur Apache instance, mais il voulait l'utilisation de certificats auto-signés sur l'app instances du serveur (de sorte que l'Apache app sever également une connexion est cryptée). Nous ne voulons pas installer une autorité de certification-signature de certificat SSL sur le serveur d'application des cas, si nous n'avez pas à.
Sera Apache permettre cette configuration d'avoir des certificats auto-signés sur l'app instances de serveur?
Peut-être que ça va aider: SSLProxyCheckPeerCN?
OriginalL'auteur BestPractices | 2012-09-17
Vous devez vous connecter pour publier un commentaire.
Si vous avez une grande collection de serveurs d'application, il serait probablement plus judicieux d'avoir votre propre autorité de certification interne, au lieu d'avoir à gérer chaque certificat auto-signé un par un.
Si vous voulez les liens entre Apache Httpd reverse proxy et ses nœuds de travail pour utiliser le protocole HTTPS, vous pouvez configurer les certificats de confiance par Apache Httpd à l'aide de la
SSLProxy*
directives demod_ssl
(comme indiqué dans l'introduction de lamod_proxy
de la documentation), en particulierSSLProxyCACertificateFile
.Vous aurez besoin d'utiliser
mod_proxy_http
pour cela, puisque les connexions AJP ne sont pas faits sur SSL/TLS.pourquoi n'est-ce pas répondre à la question? Le
SSLProxy*
directives sont ceux qui sont nécessaires, et il est documenté. Vous avez raison, je ne l'ai pas mentionnéSSLProxyVerify
explicitement, ce qui est malheureusementnone
par défaut (vous voulezrequire
), la valeur par défaut deSSLProxyCheckPeerCN
a également changé entre Apache Httpd 2.2 et 2.4.La réponse n'était pas clair pour moi au départ. Après la lecture de la mod_ssl et mod_proxy la documentation de votre réponse fait beaucoup plus de sens. Les valeurs par défaut pour SSLProxyVerify et CheckPeerCN aussi expliquer pourquoi il "fonctionne" sans avoir à me dire à Apache de faire confiance à l'auto-signé cert. On dirait que je vais avoir besoin de comprendre le SSLProxyCA* des directives pour obtenir Apache de faire confiance à mon auto-signé cert
OriginalL'auteur Bruno