Libra Proxy com vários Certificados SSL

6

Depois de ler no site Pound que o SSL não suporta nomes de host virtuais, isso de fato parece bastante claro e óbvio eu, agora. Eu tenho um balanceador de carga libra com o qual desejo encerrar conexões SSL. Se um servidor da Web por trás dele executar vários sites com base no nome do host, posso configurar o comando libra para usar vários certificados SSL para esses hosts diferentes.

A única maneira de fazer isso, posso pensar, é atribuir outro IP ao balanceador de carga de cada site que deseja usar o SSL e configurar um certificado para esse IP & combinação de portas para um site específico.

Alguém está fazendo isso, isso funcionaria?

UPDATE

Idealmente, se alguém puder compartilhar um exemplo de configuração, essa seria a melhor solução para que eu possa ler sobre isso. Obrigado.

    
por jwbensley 11.10.2012 / 14:55

2 respostas

9

Parece que eu estava muito ansioso e não estava pesquisando o suficiente antes de postar aqui. Como Pound suporta SSL SNI (para SSLv3), posso simplesmente usar várias instruções "Cert" para especificar vários arquivos de certificado e Libra irá selecionar o apropriado para o pedido de entrada.

[Se uma solicitação entrar em Libra por SSL para um domínio que não estou hospedando e, portanto, não tiver um certificado para, Pound (pelo menos para mim) está apenas usando o primeiro certificado na lista que faz com que o navegador para mostrar um erro SSL].

O SNI é suportado pela maioria dos navegadores modernos. No último trimestre de 2012, eu não acho que há muitos IE 5 & 6 usuários por exemplo, em torno de;)

Esta é uma configuração básica de exemplo que funciona para mim;

ListenHTTPS
    Address my.public.facing.ip
    Port    443
    Cert    "/etc/ssl/certs/www.sslsite1.com.pem"
    Cert    "/etc/ssl/certs/www.sslsite2.com.pem"

    Service
        BackEnd
            Address 192.168.0.10 # A web server IP
            Port    80
        End
    End
End
    
por 12.10.2012 / 19:29
1

Eu tenho o Pound que serve vários sites SSL diferentes, apenas use o ListenHTTPS separado para cada site diferente.

    
por 12.10.2012 / 19:47