Como posso servir diferentes certificados TLS para diferentes endereços de origem?

0

Gostaria de exibir o mesmo site com certificado TLS diferente para diferentes intervalos de endereços IP de origem. Por exemplo, em um bloco, espero que os usuários se conectem a navegadores em que a autoridade de certificação local de uma empresa esteja instalada no armazenamento de confiança raiz do cliente. Em outro bloco, haverá outro grupo de usuários que não têm essa autoridade de certificação local. Por isso, gostaríamos de apresentar um certificado autoassinado ou assinado pela CA de sua empresa. Em outro bloco, haverá uma conexão M2M em que o certificado auto-assinado simples é tudo o que é necessário.

Eu li sobre o uso do ssl_multicert.config no Apache Traffic Server, ou usando o Server Name Indication (SNI), mas todos lidam com o IP de destino (servidor), não com o IP de origem (cliente).

Eu sei que posso executar o Apache em uma porta separada para cada certificado e depois jogar com o alvo de salto REDIRECT no iptables. Eu estou procurando uma maneira limpa de fazer isso usando apenas as opções de configuração do Apache (2.4). Alguém sabe?

    
por petiepooo 02.03.2017 / 23:43

1 resposta

2

Se você usasse o servidor web SNI , você poderá implementar a seguinte lógica no mesmo servidor da Web, utilizando um único endereço IP para servidor HTTP com certificados SSL diferentes para cada grupo de usuários com base em seu endereço IP.

Os usuários serão roteados para determinado servidor da Web com base em seu endereço IP com a ajuda de HAproxy

    
por 05.03.2017 / 03:54