在防火墙后实现HTTPS - Rproxy
在防火墙后实现HTTPS - Rproxy
提问于 2019-04-01 17:08:53
我们的工作场所有一个管理良好的小型基础设施。
最简单的网络形式:
>> (公共ip)防火墙(私有ips 192.168.X.X/24(NAT)) >>反向代理>>> Web服务器
现在,当客户端连接到我们的web服务时,他们必须通过HTTP进行连接。我们正在努力实现HTTPS (SSL)。由于设置的性质,我们使用通配符SSL证书。
我的问题:
- 通配符SSL证书是否只需要安装在反向代理服务器上?它处理对我们的web服务器的所有请求(其中至少有10)。
- 是否需要在反向代理后面的每个web服务器上安装通配符SSL证书?
- 是否需要在防火墙上安装或实现通配符SSL证书?
谢谢您的反馈!
回答 1
Server Fault用户
发布于 2019-04-01 19:07:49
- 由于反向代理终止HTTPS连接的TLS部分,因此需要在那里安装证书。
- 这取决于您的特定设置:反向代理可以对内部服务器使用简单的HTTP (没有TLS),也可以将HTTPS与您自己创建的证书(这些证书需要由反向代理信任)一起使用,也可以在外部使用相同的公共证书时使用HTTPS。只有在最后一种情况下,才需要在内部服务器上安装公共证书。但这不是推荐的方法,因为它不必要地将公共证书的秘密私钥公开到多个地方,这些地方甚至可能有不同的管理员。
- 如果防火墙只进行NAT和数据包过滤,并且专门不进行任何内容检查,HTTPS流量(即没有Web应用程序防火墙或类似的),那么证书将不会安装在那里。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/960984
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号