Apache - Virtual Hosting Mass Client SSL configurável, proxy reverso

5

Meu cenário é que hospedamos vários sites para clientes e todos os sites de clientes são executados somente em SSL.

Atualmente, temos um arquivo host virtual separado para cada cliente para o Apache. Cada arquivo é praticamente o mesmo, exceto o nome do servidor / alias e a parte de configuração ssl. O restante da configuração é basicamente apenas algumas declarações de proxy reverso para informar ao apache para finalizar o ssl e depois passar o tráfego para o IIS de back-end (site .net). Nota: todos os sites são executados no mesmo IP, portanto, o SNI é usado e parece funcionar bem (sem compliances, até o momento, o que é bom).

A outra principal função que temos é que o cliente é capaz de entrar em seu 'portal do cliente' (nosso site) e gerar um CSR para ir a um terceiro para obtê-lo assinado e retornar o certificado para nós. Quando eles geram o CSR, mantemos as chaves privadas no servidor.

O problema é que:

1) É difícil manter um arquivo host virtual separado para cada cliente, considerando que a maior parte do arquivo é a mesma entre eles. (Também os limites do descritor de arquivo estão se tornando um problema)

2) O cliente pode alterar seu SSL a qualquer momento. Ou seja eles podem ter apenas 2 meses no certificado e, portanto, desejam fazer login na conta, obter um novo CSR e alterar seu certificado SSL em 2 meses. O problema surge que eu preciso fazer um 'restart' no apache para recarregar os certificados. Lembre-se de que todos os sites são executados no mesmo servidor da Web, portanto, o reinício afetará todos eles.

Portanto:

1) Estou pensando em mudar para o 'Host virtual de massa dinamicamente configurado' para o Apache, no entanto, de acordo com este site aqui , o seguinte é declarado:

" terminação SSL não é possível no servidor, a menos que todos os domínios hospedados dinamicamente sejam subdomínios cobertos por um certificado SSL de subdomínio curinga "

Cada site, no entanto, é seu próprio domínio e não apenas subdomínios.

Existe uma maneira de conseguir essa hospedagem em massa com o uso dinâmico de SSL no Apache. Se não (o que eu acho que é o caso), o que posso colocar 'infront' do apache para terminar a conexão SSL que não requer reinicializações? (Ele precisa ter alguma maneira de alterar o certificado, mas não afeta os outros sites que são executados no mesmo IP / Webserver)

Ou seja. (HAProxy / Pound / outro ??) - > Apache - > IIS

    
por Robin Rieger 01.04.2015 / 00:54

1 resposta

1

Eu colocaria o proxy Hitch TLS na frente do apache - link .

Na lista de recursos:

  • Seguro para grandes instalações: desempenho de até 15 000 tomadas de escuta e 500 000 certificados.
  • Suporte para recargas de configuração em tempo de execução contínuas de certificados e pontos de extremidade de escuta.

A menos que seja muito importante que os usuários criem CSRs e escolham as próprias CAs, considere habilitar o engate com Let's Encrypt e Acmetool. Com um pequeno script para adicionar e remover domínios, você receberá certificados gratuitos para todos os domínios com emissão automática e renovação automática. Definir e esquecer = Win: Win.

Veja: link

    
por 12.04.2017 / 21:10