Executando um aplicativo em um segundo servidor com um IP dinâmico. Preciso de dois certificados SSL ao usar o Apache ProxyPass?

1

Termos

example.com : o domínio que aponta para o static server .

static server : este servidor tem um endereço IP estático e tem o Apache ProxyPass apontando para dynamic server .

dynamic server : esse servidor fica atrás de um endereço IP dinâmico e hospeda o application .

application : um aplicativo da Web em execução no dynamic server .

Introdução

Eu tenho um application que será executado a partir de dynamic server e o domínio example.com está apontado para outro servidor que eu controle que tenha um IP estático static server .

O usuário acessará o domínio example.com e esse domínio acessará "servidor estático".

Eu tenho o Apache ProxyPass configurado para enviar essas solicitações para o meu dynamic server .

Nota lateral

Haverá um script em dynamic server que atualizará o host virtual do Apache em static server sempre que o IP for alterado. (E, em seguida, outro script no static server reiniciará o Apache quando o arquivo de hosts virtuais for modificado.) Eles estão quase completos e não o problema no momento.

Pergunta

Preciso instalar dois certificados SSL para static server e dynamic server ?

Aqui está um layout da configuração e a maneira como acredito que deve funcionar:

example.com aponta para static server com um certificado SSL e, em seguida, o ProxyPass para dynamic server com seu próprio certificado SSL.

Isso está correto? Ou eu só preciso de um certificado SSL? Se eu apenas precisar de um, em qual servidor ele deve ir?

    
por Joseph 27.04.2016 / 10:56

1 resposta

1

Tudo depende do que você está tentando alcançar com os certificados TLS.

Se você precisar de autenticação e criptografia para o cliente, precisará ter um certificado TLS para static server .

Se a conexão entre static server e dynamic server for segura (como em uma rede privada ou VPN), talvez você não precise de HTTPS entre os dois; nesse caso, uma conexão HTTP será suficiente.

No entanto, se acabar (por exemplo) a Internet, você precisará de um segundo certificado TLS em dynamic server para autenticar e criptografar o tráfego entre os dois. Se static server for o único usuário de dynamic server , você poderá usar um certificado autoassinado para isso ou operar sua própria autoridade de certificação.

Um certificado TLS em static server não significa que o tráfego entre esse e dynamic server seja via HTTPS - você ainda precisa de um certificado em dynamic server para que essa conexão seja segura. Da mesma forma, um certificado em dynamic server não significa que o tráfego entre clientes e static server seja sobre HTTPS. São duas conexões independentes essencialmente.

    
por 27.04.2016 / 22:47