Reverse proxy de HTTPS de nginx para Apache

3

Eu tenho nginx trabalhando como um proxy reverso para um número de servidores apache. Cada servidor apache está em seu próprio recipiente virtual, para separar as coisas umas das outras (portanto, o proxy reverso nginx não está fazendo balanceamento de carga, apenas encaminhando solicitações para contêineres apropriados: o site A vai para 192.168.2.1, o site B vai para 192.168.2.2, etc).

Qual é a melhor maneira de lidar com SSL aqui? Do que eu posso google, a maneira típica parece ser para descriptografar o tráfego SSL no proxy reverso e, em seguida, encaminhar o tráfego como HTTP normal para os servidores por trás do proxy. Não estou muito interessado nisso, pois isso significaria instalar certificados no proxy em vez de nos servidores por trás dele - e gostaria de manter os certificados com os contêineres aos quais eles se relacionam, se possível. No entanto, o tráfego HTTPS é obviamente criptografado, então é possível até procurá-lo? Eu estou supondo que não, já que eu não encontrei muitos "como fazer" para isso, mas pensei em perguntar à mente da colméia.

Quaisquer ponteiros serão muito apreciados:)

    
por Fake51 22.03.2011 / 22:52

1 resposta

2

Proxyar uma solicitação HTTPS seria um ataque MITM , é por isso que não usamos faça isso:)

A melhor prática é ter o SSL terminado no proxy e o tráfego entre proxy e back-end acontecer por meio de HTTP não criptografado (ou pelo menos com um conjunto diferente de certificados / túnel SSL).

Apenas certifique-se de ter boa segurança nos proxies para manter os certificados seguros e na conexão backend-proxy também (talvez coloque os proxies em um DMZ e os backends dentro dos firewalls).

    
por 22.03.2011 / 22:59