Windows-Server-2008
代理伺服器接受 TLS 1.0 並在下游呼叫 TLS 1.2
客戶端軟體版本使用 TLS 1.0 協議連接到 Web 服務(目前版本無法配置為使用更新的協議版本),並且伺服器策略最近升級為僅允許 TLS 1.2。
是否可以創建一個接受 TLS 1.0 連接並通過下游 TLS 1.2 連接工作的代理伺服器?
這將暫時解決問題,直到客戶端軟體升級。
什麼軟體可以用來創建這樣的代理伺服器?
是的,這是可以做到的。如果協議是 HTTPS,您可以使用各種軟體,如 Fiddler、mitmproxy 甚至 squid,它們具有此功能進行 TLS 攔截和分析。為此目的,各種防火牆也具有此類功能。您還可以使用socat作為一側的 TLS 伺服器和 TLS 客戶端。但在所有這些情況下,原始證書都會失去並使用新證書,並且並非所有這些解決方案都能正確檢查原始證書。
我已經成功地在反向代理模式下使用 mitmproxy 完成了設置:
https://mitmproxy.readthedocs.io/en/v2.0.2/features/reverseproxy.html.
請注意,您將需要您的網路服務證書 PEM(包括證書和私鑰),以便代理能夠為您的客戶端軟體和系統透明地進行加密-解密-簽名。