Apache-2.2

在具有動態 IP 的第二台伺服器上執行應用程序。使用 Apache ProxyPass 時是否需要兩個 SSL 證書?

  • April 27, 2016

條款

example.com: 指向static server.

static server:此伺服器有一個靜態 IP 地址,並有 Apache ProxyPass 指向dynamic server

dynamic server:此伺服器位於動態 IP 地址後面並託管application.

application: 在dynamic server.

介紹

我有一個application將要執行的域,dynamic server並且該域example.com指向我控制的另一台具有靜態 IP 的伺服器static server

使用者將轉到該域example.com,該域將訪問“靜態伺服器”。

我已將 Apache ProxyPass 配置為將這些請求發送到我的dynamic server.

邊注

每當 IP 更改時,都會有一個腳本dynamic server更新 Apache 虛擬主機。static server(然後在修改虛擬主機文件時,另一個腳本static server將重新啟動 Apache。)這些幾乎完成了,目前還不是問題。

問題

我需要為 和 安裝兩個 SSL 證書static serverdynamic server

這是設置的佈局以及我認為它應該工作的方式:

example.com指向static server一個 SSL 證書,然後 ProxyPass 指向dynamic server它自己的 SSL 證書。

那是對的嗎?還是我只需要一個 SSL 證書?如果我只需要一個,它應該放在哪個伺服器上?

這完全取決於您嘗試使用 TLS 證書實現的目標。

如果您需要對客戶端進行身份驗證和加密,則需要為static server.

static server如果和之間的連接dynamic server是安全的(例如通過專用網路或 VPN),那麼兩者之間可能不需要 HTTPS,在這種情況下,HTTP 連接就足夠了。

但是,如果它通過(例如)網際網路,您將需要第二個 TLS 證書dynamic server來驗證和加密兩者之間的流量。如果static server是唯一的使用者,dynamic server那麼您可以為此使用自簽名證書,或者操作您自己的 CA。

啟用 TLS 證書static server並不意味著它之間的流量dynamic server通過 HTTPS - 您仍然需要啟用證書dynamic server才能使該連接安全。同樣,證書開啟dynamic server並不意味著客戶端之間的流量static server是通過 HTTPS 進行的。它們本質上是兩個獨立的連接。

引用自:https://serverfault.com/questions/773209