1. Inicio
  2. Pregunta y respuesta
  3. ¿Funcionará un certificado autofirmado detrás de un proxy inverso de Apache?

¿Funcionará un certificado autofirmado detrás de un proxy inverso de Apache?

2012-09-17 26 views
5

Queremos utilizar Apache como nuestro proxy inverso para una colección de servidores de aplicaciones. Planeamos ver un certificado SSL firmado por la CA en la instancia de Apache, pero queríamos usar certificados autofirmados en las instancias del servidor de la aplicación (para que la conexión de Apache a la aplicación se encriptara también). No queremos instalar un certificado SSL firmado por CA en las instancias del servidor de aplicaciones si no es necesario.¿Funcionará un certificado autofirmado detrás de un proxy inverso de Apache?

¿Permitirá Apache esta configuración de tener certificados autofirmados en las instancias del servidor de aplicaciones?

Fuente

2012-09-17 BestPractices

+0

Quizás esto ayude: [SSLProxyCheckPeerCN] (http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslproxycheckpeercn)? – noodl

Respuesta

5

Si tiene una gran colección de servidores de aplicaciones, probablemente tendría más sentido tener su propia CA interna, en lugar de tener que administrar cada certificado autofirmado uno por uno.

Si quieres las conexiones entre un proxy inverso Apache Httpd y sus nodos de trabajo para que utilice HTTPS, puede configurar los certificados de confianza por Apache Httpd utilizando los SSLProxy* directivas de mod_ssl (como se documenta en la introducción de la documentación mod_proxy) , en particular SSLProxyCACertificateFile.

Necesitará usar mod_proxy_http para esto, ya que las conexiones AJP no se realizan a través de SSL/TLS.

Fuente

2012-09-17 15:01:40 Bruno

+3

Esto no responde la pregunta. ¿Apache permite certificados autofirmados en servidores proxy? Bueno, desde una configuración de prueba lo tengo parece que simplemente funciona. Sería bueno si hubiera una confirmación oficial de esto sin embargo. En mi prueba, si navego por mi buscador web directamente en el servidor proxy, me piden que acepte el certificado autofirmado, así que no esperaba que esto funcionara por medio de Apache, pero lo hizo. Esperaba que tuviera que actualizar Apache keystore/truststore para incluir el certificado autofirmado, pero ni siquiera tuve que hacer eso. – Ryan

+1

@Ryan, ¿por qué no responde esto la pregunta? Las directivas 'SSLProxy *' son las requeridas, y están documentadas. Tienes razón. No mencioné 'SSLProxyVerify' explícitamente, que desafortunadamente' none' por defecto (querrás 'require'), el valor predeterminado de' SSLProxyCheckPeerCN' también ha cambiado entre Apache Httpd 2.2 y 2.4. – Bruno

+0

La respuesta no estaba clara para mí inicialmente. Después de leer la documentación mod_ssl y mod_proxy, tu respuesta tiene mucho más sentido. Los valores predeterminados para SSLProxyVerify y CheckPeerCN también explican por qué "simplemente funciona" sin que tenga que decirle a Apache que confíe en el certificado autofirmado. Parece que tendré que averiguar las directivas SSLProxyCA * para que Apache confíe en mi certificado autofirmado – Ryan

Cuestiones relacionadas

 Cuestiones relacionadas