Proxy reverso do Squid com vários certificados SSL via SNI

1

O O Proxy Server oferece a possibilidade de fornecer vários certificados SSL para isso?

Eu tenho um servidor com várias máquinas virtuais executando servidores web Apache para diferentes clientes. Como uma alternativa econômica para vender aos clientes um endereço IP dedicado, eu gostaria de pelo menos (explicar as conseqüências de e) oferecer uma solução usando no IP compartilhado da máquina do servidor.

Então, digamos que temos um servidor com quatro domínios: domain1a.com , domain1b.com , domain2a.com e domain2b.com . O domínio domaina1.com e domainb1.com são hospedados pela mesma instância do Apache dentro de uma máquina virtual, assim como os outros dois domínios. Cada máquina virtual tem um endereço IP IPv4 local traduzido por NAT, para o qual os pedidos devem ser enviados.

Todas as solicitações HTTP (S) devem passar por um servidor proxy de armazenamento em cache para velocidade e compartilhamento do IP do servidor. Assim, a solução deve oferecer terminação SSL e SNI.

Em 2013, a resposta a esta questão apontou a de Squid incapacidade do SNI. No entanto, desde o Squid 3.5 ele suporta SNI com peek-and-splice .

Até onde eu descobri, as opções com o Squid que eu tenho são

  1. use uma CA auto-assinada e uma geração de certificados dinâmicos ou
  2. use um certificado com vários nomes de SAN, listando todos os domínios hospedados no servidor (físico).

(1) não funciona, obviamente, porque não podemos instalar um certificado de autoassinado no computador de cada visitante (felizmente!).

(2) não funciona para mim, porque seria muito inflexível e revelaria todo e qualquer domínio hospedado na máquina do servidor (físico).

Eu senti falta de algo aqui? Posso fornecer o Squid com vários certificados SSL para o SNI? Se isso não for possível: que alternativas corresponderiam à minha situação?

Obrigado antecipadamente!

    
por Dorton 27.06.2016 / 17:59

1 resposta

0

Infelizmente a resposta ainda é não. A razão atual é justamente que os bits finais do encanamento necessário ainda não existem. Todos os componentes necessários existem no Squid-4 e são usados para interceptação TLS. Mas eles ainda precisam ser unidos de uma maneira adequada para uso em proxy reverso.

    
por 28.09.2016 / 05:02