我希望build立一个新的网站,供用户使用HTTPS访问。 我认为把“真实的”Web服务器放在一个单独的子网中,然后在DMZ中安装一个Apache反向代理是一个很好的做法。
我的问题是,我应该在哪里放置SSL证书? 我是不是该
a)在“真实”networking服务器上使用自签名证书,在反向代理上使用正确的证书?
b)在“真实”networking服务器和反向代理上使用2个真正的证书?
c)不要在“真实”networking服务器上使用任何证书,并在反向代理上使用正确的证书?
如果可能,我想使用a)或c)。 我也不希望任何人的浏览器抱怨自签名的证书。
谢谢
看看这个链接ssl
通常情况下,Web服务器将进入DMZ区域,除非出于不寻常的原因它们包含受限制或机密的信息。 数据库通常包含该数据,这些数据位于更受限制的子网中。
现代DMZ经常是内部保留的子网 。 你将在边缘networking上有一个防火墙,这将提供到该子网的NAT。 我所描述的是双重防火墙configuration。
SSL证书在Web服务器所在的网段上是可以接受的。 除非当时还有其他考虑,否则我通常会尽可能地倾向于encryption。 我将在您描述的所有情况下使用CA签名的SSL证书。