Certificado SSL separado por webapp no servidor de aplicativos Java em um único IP

Navegue suas respostas
1

Temos um servidor Apache Tomcat de produção sobre o qual alguns sites são exibidos. Os sites começaram a solicitar certificados SSL válidos. Temos algumas limitações quanto ao número de IPs válidos em nosso servidor. Por outro lado, lemos sobre o Server Name Indication (SNI) nas versões recentes do SSL, que parecem ser suportadas por todos os principais navegadores da Web e nos permitem ter vários sites habilitados para SSL em um único endereço IP.

O problema é que nem o Apache Tomcat tem suporte para o SNI em sua versão estável, nem um grande servidor comercial como o WebLogic.

Afinal, o SNI poderia ser considerado uma solução madura para esse problema?

Obrigado.

    
por user2798081 09.11.2015 / 13:21

1 resposta

1

O SNI é definitivamente o caminho a percorrer e é muito maduro. No entanto, fazer o SSL diretamente no Tomcat é desencorajado. O problema é que as bibliotecas SSL do Tomcat geralmente estão desatualizadas e incompletas. A maneira típica de fazer SSL com um site Tomcat é fazer proxy do conteúdo por meio de outro programa (httpd, HAProxy, Pound, etc.) que pode adicionar SSL à solicitação entre o cliente e o proxy. Se você fizer o proxy no mesmo servidor que está executando o Tomcat, não haverá tráfego de texto sem formatação na rede (ou seja, não é um problema de segurança). Eu não tenho certeza sobre o HAProxy e o Pound, mas eu sei que o httpd tem um bom suporte para o SNI embutido.

    
por 09.11.2015 / 13:53

Tags

Crie subzonas no firewallD Slots PCIe S5000PSL mortos?