在Windows Server 2008 R2上,我的ITpipe理员使用Windows证书pipe理工具安装了证书。 该证书用于* .thedomain.com。 为了安全起见,他把它设置为不可出口:我不能肯定能把我的手放在证书上。
这种configuration将允许我在Microsoft产品中使用证书,但不能使用证书。
问:有没有办法configurationApache 2使用这个证书“windows方式”?
Apache使用OpenSSL来pipe理SSL / TLS安全以及pipe理证书,而OpenSSL不使用Windows证书存储,所以没有简单的方法来实现你的请求。
所以,就你而言,更简单的解决scheme是将SSLencryption卸载到使用Windows存储的反向代理(可以使用IIS和ARR ,这不是微不足道的,但也不是太复杂)。
但是 ,我不确定这是从架构和安全angular度采取的正确解决scheme。
对于pipe理员来说,希望限制访问链接到域通配符证书的私钥是非常有意义的。 但是,如果按照自己的方式安装,那么这样做的意义就不那么重要了:除非他在该服务器上没有授予您pipe理权限,否则您仍然可以从机器中恢复证书数据它。
因此,从我的angular度来看,最好的解决scheme是让他设置一个独立的系统专用于在他所控制的系统上执行SSL终止(即,一个启用了SSL的反向HTTP代理)。 然后,您可以将您的Apache服务器设置为一个简单的HTTP服务器,代理将负责encryption。
如果您的要求或政策不允许您的代理服务器和您的Web服务器之间的明文networking通信,则可以为您的apache系统设置一个自签名的SSL证书,并让您反向信任它(实际上,任何x509证书都可以:如果您有一个内部的CA,它也可以使用)。
这样,你就可以保持每个人的责任妥善隔离。