Usando o GlassFish por trás do Nginx com SSL

1

Temos uma configuração de protótipo em que o Nginx atua como um terminador SSL do balanceador de carga. Por trás do Nginx está o GlassFish 3 executando nossos Serviços Web REST sobre HTTP (sem SSL) junto com outros servidores de aplicativos.

Todos os pedidos de link são redirecionados para o GlassFish.

No momento, isso está sendo executado no mesmo servidor, por isso não temos muitas preocupações de segurança (as portas de aplicativo do GlassFish estão bloqueadas para acesso remoto).

No entanto, precisaremos escalar isso em breve e o balanceador de carga (Nginx ou qualquer outra coisa) precisará ser movido para outro servidor.

Não preciso de muita experiência na configuração de certificados SSL, por isso fiquei a pensar quais serão as nossas opções:

  1. Devemos instalar certificados SSL para o GlassFish Server (talvez certificados autoassinados) para garantir a conexão SSL / TLS após passar pelo balanceador de carga?
  2. O Nginx tem um certificado SSL * .example.com. Poderíamos usar o mesmo certificado SSL com dois Web Servers diferentes, para que a Glassfish pudesse receber diretamente solicitações HTTPS para um subdomínio ( link ) sem passar pelo Nginx ou qualquer balanceador de carga.

Eu realmente aprecio sua ajuda.

    
por Jose S 16.09.2014 / 14:03

1 resposta

1

Should we install SSL certificates for GlassFish Server (maybe self signed certificates) to ensure SSL/TLS connection after passing the load balancer?

Se você tiver certificado SSL curinga para * .example.com , você poderá evitar certificado autoassinado. Você pode fornecer o nome de host glassfish como subdomínio de example.com (por exemplo glassfish.example.com). Em seguida, você pode usar proxy_ssl_verify para impedir o ataque do MITM e garantir a conexão segura entre o balanceador de carga e o glassfish. / p>

Se você precisar usar um certificado autoassinado, adicionar esse certificado à lista confiável e ativar proxy_ssl_verify deve fazer o trabalho.

Nginx has a *.example.com SSL certificate. Could we use the same SSL certificate with two different Web Servers, so Glassfish could directly receive HTTPS requests for a subdomain (https://api.example.com) without passing through Nginx or whatever loadbalancer.

Se você quer dizer um certificado SSL curinga , então SIM, você pode instalar o mesmo certificado.

    
por 17.09.2014 / 03:34