有没有办法让中央服务器持有我的SSL证书，并将其用于多个Web服务器？

我有几个Web应用程序服务器，我想转换为使用https而不是http。我的组织有我要求使用的购买的通配符证书。我想禁止我的开发人员访问证书，但我也想让他们在我们的Web服务器上有sudo访问权限。

反向代理

设置1

据我所知，上面应该是相当容易的，但是我不喜欢把我要维护的服务器数量翻倍的想法，我也不喜欢复制证书N次。

中央ssl服务器？

设置2

我希望的最好的情况是让我的服务器有一个中央服务器encryption我的stream量，同时让客户端直接连接到我的networking服务器。这有另一个好处，让其他部门处理服务器上的证书，所以我不负责其安全性。

有没有办法做到这一点？我正在使用apache2。我甚至不知道要search什么。

你的第二种方法是单点故障。

您的第一种方法没有单点故障 – 但是您不需要使用web服务器的反向代理。

您尚未提供有关您当前拥有的服务器数量和stream量的任何信息 – 虽然容量规划需要比此更多的信息，但至less是起点。

我也想让他们在我们的Web服务器上有sudo访问权限

这听起来像你已经在你的安全模型有一个主要的差距。 Sudo作为谁？如果他们可以部署代码，那么他们可以使用他们的部署uid来访问任何文件，也可以使用代码运行的uid来访问任何文件（同样，你没有提供任何关于他们的代码在web服务器上运行的细节，通过suexec，在一个fastCGI守护进程作为一个不同的networking服务器uid运行…）。为什么没有特权分离？你为什么认为特权分离是阻止他们获得证书的唯一途径？

您还没有提供威胁模型的任何细节 – 您在这里实际上试图阻止的是什么？仅仅是为了阻止开发者窃取和使用证书，或者你是否试图保护encryption的数据？