Вопросы Теги

Направьте запросы SSL в зависимости от хоста

Можно также использовать stunnel для этого вида операции издержки являются довольно низкими

1
задан 22 June 2013 в 12:10
1 ответ

Можно ли использовать nginx для такой настройки? Если нет, существует ли инструмент для достижения такого поведения?

Как вы уже отметили, ваш обратный прокси-сервер ничего не знает об URI или заголовках HTTP, поскольку эта информация заключена и зашифрована в протоколе TLS. Виртуальные хосты на основе имен не будут работать с TLS так легко .

Единственным заметным исключением из этого правила является расширение TLS для указания имени сервера, но для этого потребуется поддержка на сервере, а также все потенциальные клиенты . NGNIX поддерживает SNI на стороне сервера, но я полагаю, что ему все равно потребуется разорвать соединения TLS для вашего приложения. HAproxy смог бы принять решение на основе имени хоста, предоставленного SNI , не завершая туннель - возможно, вы захотите изучить это.

Если бы вы могли получить в свои руки один сертификат, который бы переносить все комбинации hostname * .example * .com´ как атрибуты SAN , вы можете настроить NGNIX с этим сертификатом для завершения всех туннелей, проверки заголовков и передачи трафика в зависимости от на значениях как обратный прокси. Такое решение имеет шанс быть поддержанным большим количеством потенциальных клиентов , но имеет очевидный недостаток: сертификат необходимо повторно выдавать каждый раз, когда вам нужно добавить или удалить имя хоста из списка.

Если бы вы могли заполучить один сертификат, который будет содержать все комбинации hostname * .example * .com´ как атрибуты SAN , вы могли бы настроить NGNIX с этим сертификат для завершения всех туннелей, проверки заголовков и передачи трафика в зависимости от значений в качестве обратного прокси. Этот вид решения имеет шанс быть поддержанным большим количеством потенциальных клиентов , но имеет очевидный недостаток, заключающийся в том, что сертификат необходимо повторно выдавать каждый раз, когда вам нужно добавить или удалить имя хоста из списка.

Если бы вы могли заполучить один сертификат, который будет содержать все комбинации hostname * .example * .com´ как атрибуты SAN , вы могли бы настроить NGNIX с этим сертификат для завершения всех туннелей, проверки заголовков и передачи трафика в зависимости от значений в качестве обратного прокси. Этот вид решения имеет шанс быть поддержанным большим количеством потенциальных клиентов , но имеет очевидный недостаток, заключающийся в том, что сертификат необходимо повторно выдавать каждый раз, когда вам нужно добавить или удалить имя хоста из списка.

2
ответ дан 3 December 2019 в 21:31

Теги

Похожие вопросы