我有nginx作为一个Apache服务器的反向代理工作。 每个Apache服务器都坐在自己的虚拟容器中,以便彼此分离事物(因此,nginx反向代理不会进行负载平衡,只是将请求转发到适当的容器:站点A转到192.168.2.1,站点B转到192.168.2.2等)。
这里处理SSL的最好方法是什么? 从我可以谷歌,典型的方式似乎是在反向代理解密SSLstream量,然后将stream量作为正常的HTTP转发到代理服务器后面的服务器。 我并不太热衷于此,因为这意味着在代理服务器上安装证书,而不是在其后面的服务器上安装证书 – 而且如果可能的话,我想保留与它们相关的容器的证书。 但是,HTTPSstream量显然是encryption的,那么甚至有可能代理呢? 我猜不是,因为我没有遇到过很多“如何做”的东西,但是我觉得我会问一下蜂巢的思维。
任何指针将不胜感激:)
代理一个HTTPS请求将是一个中间人攻击,这就是为什么我们不这样做:)
最佳做法是让SSL在代理处终止,代理和后端之间的stream量通过未encryption的HTTP(或至less使用不同的证书/ SSL通道集)发生。
只要确保在代理上具有良好的安全性,以保证证书安全,并在后端代理连接上(也许把代理放在DMZ上,后端放在防火墙内)。