【问题标题】:Will a self-signed certificate work behind an Apache reverse-proxy?自签名证书能否在 Apache 反向代理后面工作?
【发布时间】:2012-09-09 17:04:40
【问题描述】:

我们希望使用 Apache 作为我们对一组应用服务器的反向代理。我们计划在 Apache 实例上使用 CA 签名的 SSL 证书,但希望在应用服务器实例上使用自签名证书(这样 Apache 到应用服务器的连接也被加密了)。如果不需要,我们不想在应用服务器实例上安装 CA 签名的 SSL 证书。

Apache 是否允许在应用服务器实例上配置自签名证书?

【问题讨论】:

标签: apache ssl


【解决方案1】:

如果您拥有大量应用服务器,那么拥有自己的内部 CA 可能更有意义,而不必一个一个地管理每个自签名证书。

如果您希望 Apache Httpd 反向代理与其工作节点之间的连接使用 HTTPS,您可以使用 mod_sslSSLProxy* 指令配置 Apache Httpd 信任的证书(如介绍mod_proxy 文档),尤其是 SSLProxyCACertificateFile

您需要为此使用 mod_proxy_http,因为 AJP 连接不是通过 SSL/TLS 建立的。

【讨论】:

  • 这不能回答问题。 Apache 是否允许在代理服务器上使用自签名证书?好吧,从我的测试设置来看,它似乎可以正常工作。如果有官方确认,那就太好了。在我的测试中,如果我在代理周围直接浏览我的网络浏览器到代理服务器,系统会提示我接受自签名证书,所以我没想到它可以通过 Apache 代理工作,但确实如此。我原以为我必须更新 Apache 密钥库/信任库以包含自签名证书,但我什至不必这样做。
  • @Ryan,为什么不回答这个问题? SSLProxy* 指令是必需的,并且已记录在案。你是对的,我没有明确提到SSLProxyVerify,不幸的是默认情况下是none(你想要require),SSLProxyCheckPeerCN 的默认值也在 Apache Httpd 2.2 和 2.4 之间发生了变化。
  • 最初我并不清楚答案。阅读 mod_ssl 和 mod_proxy 文档后,您的答案会更有意义。 SSLProxyVerify 和 CheckPeerCN 的默认值也解释了为什么它“正常工作”,而我不必告诉 Apache 信任自签名证书。看起来我需要弄清楚 SSLProxyCA* 指令才能让 Apache 信任我的自签名证书
猜你喜欢
  • 2016-09-22
  • 2010-09-21
  • 2014-11-25
  • 1970-01-01
  • 2020-09-24
  • 2020-01-07
  • 2010-12-07
  • 2011-06-19
  • 1970-01-01
相关资源
最近更新 更多