Предлагает ли squid Proxy Server возможность предоставить ему несколько сертификатов SSL?
У меня есть сервер с различными виртуальными машинами, на которых запущены веб-серверы Apache для разных клиентов. В качестве экономической альтернативы продаже клиентам одного выделенного IP-адреса я хотел бы по крайней мере (объяснить последствия и) предложить им решение с использованием sni на общем IP-адресе серверной машины.
Итак, допустим, мы иметь Сервер с 4 доменами: domain1a.com
, domain1b.com
, domain2a.com
и domain2b.com
. Домены domaina1.com
и domainb1.com
размещаются в одном экземпляре Apache на виртуальной машине, как и два других домена. Каждая виртуальная машина имеет преобразованный в NAT локальный IP-адрес IPv4, на который должны быть отправлены запросы.
Все запросы HTTP (S) должны проходить через кэширующий прокси-сервер для обеспечения скорости и совместного использования IP-адреса сервера. Таким образом, решение должно предлагать завершение SSL и SNI.
Еще в 2013 году ответ на этот вопрос указывал на неспособность Squid к SNI. Однако, начиная с Squid 3.5, он поддерживает SNI с peek-and-splice .
Насколько я узнал, у меня есть варианты использования Squid:
(1) явно не работает, потому что мы не можем установить самозаверяющий сертификат CA на компьютер каждого посетителя веб-сайта (к счастью!).
(2) не работает работать на меня, потому что это было бы очень негибким и раскрыло бы каждый домен, размещенный на (физическом) сервере.
Я что-то здесь пропустил? Могу ли я предоставить Squid несколько сертификатов SSL для SNI? Если это невозможно: какие альтернативы подходят для моей ситуации?
Заранее благодарим!
К сожалению, ответ все еще "нет". В настоящее время причина в том, что конечных битов необходимой сантехники пока нет. Все необходимые компоненты существуют в Squid-4 и используются для TLS-перехвата. Но их еще предстоит соединить таким образом, чтобы они были пригодны для использования в обратном прокси.
.