Прокси реверса SSL и безопасность (подслушивание)
Вам не было бы нужно к тому, так как порт диктует, какой веб-сайт работает. Если бы Вы имели 2 отдельных веб-сайта, например, на различных портах и указали на них на различные виртуальные каталоги, то физический путь уже отличался бы, в зависимости от которого Вы шли. Вы могли получить каждый полный путь с помощью каждого пути виртуального корневого каталога.
Вы размещаете свое оборудование или покупаете управляемый хостинг? Вы упоминаете colo, но если вас беспокоят незашифрованные данные после выполнения разгрузки SSL, то это звучит так, как будто вы выполняете управляемый хостинг.
В случае colo, где безопасность имеет первостепенное значение (что, похоже, в вашем случае) вы бы настаивали на физической безопасности вашего оборудования - в основном замков и ключей. Выполнив это и убедившись, что ваше единственное подключение к вашему провайдеру / центру обработки данных - это ваша сеть, вы можете быть уверены, что все, что вы делаете после этого подключения в своей среде, полностью безопасно.
В альтернативном случае, когда вы покупаете хостинг такие службы, как выделенные серверы, брандмауэры, l / b, сети и т.д., вы не можете быть на 100% уверены, что кто-то не может Не проводить атаку в стиле «человек посередине», физически или виртуально перенаправляя ваши данные, не использующие SSL, через какую-то дополнительную систему.
Если вас беспокоит безопасность между вашим L / B и веб-серверами, я не вижу особого смысла в удалении SSL с последующим повторным добавлением IPSEC VPN или подобного. Вам, вероятно, будет лучше разрешить SSL беспрепятственно проходить через веб-серверы (за исключением того, что вы, несомненно, хотите использовать функцию обратного прокси).
Вам, вероятно, будет лучше разрешить SSL беспрепятственно проходить через веб-серверы (за исключением того, что вы, несомненно, хотите использовать функцию обратного прокси). Вам, вероятно, будет лучше разрешить SSL беспрепятственно проходить через веб-серверы (за исключением того, что вы, несомненно, хотите использовать функцию обратного прокси).Вы можете настроить IPSec в своей локальной сети для защиты сети между балансировщиками нагрузки и вашими веб-серверами.
Как часто бывает с безопасностью, будет компромисс - вы добавляете сложности, а также можете усложнить устранение сетевых проблем. Так что вам нужно решить, стоит ли оно того.
Если вы используете Apache Httpd с mod_proxy в качестве обратного прокси , вы также можете подключиться к внешнему и внутреннему протоколу Httpd. конечный веб-сервер, использующий HTTPS.
В этом случае Httpd должен быть настроен как SSL-клиент (поэтому вам нужно указать ему, каким сертификатам CA следует доверять). Как описано во введении к документации mod_proxy , это можно сделать с помощью директив SSLProxy * .
В частности, вы должны установить SSLProxyCACertificateFile (или ... Путь ) и SSLProxyCheckPeerCN на .
Я не пробовал, но похоже, что SSLProxyMachineCertificateFile предназначен для настройки клиентских сертификатов ( обратный прокси-сервер является клиентом).