我们有一个原型设置,Nginx作为负载均衡器SSL终结器。 Nginx的背后是GlassFish 3,通过HTTP(无SSL)运行我们的REST Web服务以及其他应用程序服务器。
所有对https://api.example.com的请求都被redirect到GlassFish。
现在这个服务器运行在同一台服务器上,所以我们不需要担心太多的安全问题(GlassFish的应用程序端口被阻止进行远程访问)。
但是,我们需要尽快扩展,负载平衡器(Nginx或其他)将需要移到另一台服务器。
我没有很多经验设置SSL证书,所以我想知道我们的select是什么:
我将衷心感谢您的帮助。
我们是否应该为GlassFish服务器安装SSL证书(可能是自签名证书)以确保在通过负载均衡器之后进行SSL / TLS连接?
如果您具有* .example.com的通配符SSL证书 ,则可以避免使用自签名证书。 您可以将glassfish主机名称作为example.com的子域(例如glassfish.example.com)。 然后,您可以使用proxy_ssl_verify来防止MITM攻击,并确保负载均衡器和glassfish之间的安全连接。
如果您必须使用自签名证书,则将该证书添加到受信任列表并启用proxy_ssl_verify应执行此任务。
Nginx有一个* .example.com SSL证书。 我们是否可以使用与两个不同的Web服务器相同的SSL证书,所以Glassfish可以直接接收到一个子域( https://api.example.com )的HTTPS请求,而不需要通过Nginx或任何负载均衡器。
如果您的意思是通配符SSL证书 ,那么您可以安装相同的证书。