Apache-2.2
將 HTTPS 從 nginx 反向代理到 Apache
我已經讓 nginx 作為許多 apache 伺服器的反向代理。每個 apache 伺服器都位於自己的虛擬容器中,以將事物相互分離(因此,nginx 反向代理不進行負載平衡,它只是將請求轉發到適當的容器:站點 A 轉到 192.168.2.1,站點 B 轉到192.168.2.2 等)。
在這里處理 SSL 的最佳方法是什麼?據我所知,典型的方法似乎是在反向代理上解密 SSL 流量,然後將流量作為普通 HTTP 轉發到代理後面的伺服器。我對此不太感興趣,因為這意味著在代理上而不是在其背後的伺服器上安裝證書 - 如果可能的話,我希望將證書與它們相關的容器一起保存。但是,HTTPS 流量顯然是加密的,那麼它甚至有可能代理它嗎?我猜不是,因為我沒有遇到很多“如何做”,但我想我會問蜂巢思維。
任何指針將不勝感激:)
代理 HTTPS 請求將是MITM攻擊,這就是我們不這樣做的原因:)
最佳實踐是讓 SSL 在代理處終止,並且代理和後端之間的流量通過未加密的 HTTP(或至少使用一組不同的證書/SSL 隧道)進行。
只需確保在代理上具有良好的安全性,以確保證書和後端代理連接的安全(也許將代理放在 DMZ 和防火牆內的後端)。