Protegendo a comunicação entre um proxy reverso do IIS e um serviço de back-end com SSL / TLS em ambos os servidores

Question

Protegendo a comunicação entre um proxy reverso do IIS e um serviço de back-end com SSL / TLS em ambos os servidores

#1 resposta do (0 votos)

1

Atualmente, estou configurando uma Internet voltada para o proxy reverso do IIS que encaminhará solicitações HTTP para um servidor de API interno. Consegui fazer com que o servidor funcionasse com a conexão entre o mundo e o proxy reverso sobre SSL, e a conexão entre o proxy reverso e o servidor de API executando em HTTP simples. Eu tentei definir o servidor de API para executar em HTTPS com um certificado auto-assinado, no entanto, recebo um 502 Bad Gateway Error ao tentar acessá-lo através do proxy como antes. Eu acho que o problema é com o certificado auto-assinado porque: O servidor proxy reverso está acessando a API por meio de seu endereço IP interno e não o nome no certificado auto-assinado?

também - Eu desejaria que o SSL Offloading fosse ativado ou desativado? Se estiver desabilitado, o proxy tentará passar o certificado da API para o cliente ou seu próprio certificado? Haveria duas conexões SSL separadas ou uma até o fim?

Toda e qualquer ajuda é apreciada!

Obrigado!

ssl proxy https iis

por northdakota2170 23.05.2017 / 21:51

1 resposta

Tags ssl proxy https iis

nginx proxy_pass funciona apenas para o caminho raiz Como posso testar a conectividade de rede com um KDC Keberos (UDP / 88)?

score 0 · Answer 1

Quando um proxy reverso precisa usar HTTPS para encaminhar uma solicitação para um servidor de back-end, não é muito diferente de ser um cliente para o back-end. Se você abrir um navegador em seu servidor proxy reverso e enviar uma solicitação da web para o backend da mesma maneira que o proxy reverso está fazendo, você também verá um aviso de certificado do navegador. Depois que o aviso de certificado for corrigido (verifique se o host corresponde ao CN do certificado ou um de seu Nome alternativo, o válido de e para está correto e o certificado é confiável), você provavelmente deixará de ver esses 502 erros, sendo causado pelo handshake SSL.

O servidor proxy não pode encaminhar o certificado do servidor da API, pois ele não tem sua chave privada para executar com êxito um handshake SSL.