代理通行证的 SSL 证书?

【问题标题】:SSL Certificate for proxy pass?代理通行证的 SSL 证书?
【发布时间】:2020-01-27 09:53:48
【问题描述】:

假设用户打开https://ssl-site.example/link/index.php 我在 Apache 配置中使用ProxyPassProxyPassReverse 配置了我的服务器(在conf.d 区域中):

ProxyPass "/link" "https://other-site.example/link"
ProxyPassReverse "/link" "https://other-site.example/link"

所以如果我理解正确,现在用户在浏览器中看到https://ssl-site.example/link/index.php URL,但实际上内容来自https://other-site.example/link/index.php

ssl-site.example 拥有有效的 SSL 证书。

other-site.example 是否还需要有效的 SSL 证书才能让用户看到查看 https://ssl-site.example/link/index.php 的有效 SSL 连接?

【问题讨论】:

    标签: ssl proxy


    【解决方案1】:

    在这种情况下,来自浏览器的 TLS 连接仅针对 ssl-site.example。因此,浏览器只需要信任来自ssl-site.example 的证书。浏览器甚至不知道other-site.example 以某种方式参与其中。服务器本身必须信任来自other-site.example 的证书才能转发请求并获得响应。

    【讨论】:

    • 好的,谢谢。 other-site.example 的 SSL 证书很快就会用完。如果服务器 ssl-site.example 尝试通过 https 连接访问 other-site.example,我不确定这是否会导致错误?我该如何测试呢?我可以在 other-site.example 的 apache 配置中重命名 ssl.key 文件夹,看看它是否仍然有效?
    • @stackoverflow_asker:other-site.example 的证书仅由 Apache 检查。您可以尝试更改此系统的时钟以模拟到期。重命名密钥将不起作用,因为没有密钥 SSL 甚至无法进行检查证书所需的握手。
    • 好的,谢谢 Steffen。所以我改变了 other-site.example 的时钟?如果这是可能的,难道每个人都不能改变时钟以保持他们的证书有效吗?
    • @stackoverflow_asker:证书过期由客户端检查。访问other-site.example.com时的客户端是nginx,只有nginx。如果要检查证书过期会发生什么,请更改运行 nginx 的系统上的时钟。如果您想确保在当前证书过期后仍然可以从 nginx 访问 other-site.example,请更新证书而不是摆弄时钟。
    猜你喜欢
    • 2020-08-04
    • 2016-07-12
    • 1970-01-01
    • 1970-01-01
    • 2015-06-21
    • 2010-09-21
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode