1. Accueil
  2. Question et réponse
  3. Centralisation des connexions SSL bidirectionnelles sortantes

Centralisation des connexions SSL bidirectionnelles sortantes

2011-02-16 3 views
1

Nous utilisons actuellement Apache pour gérer les demandes SSL entrantes. Ce sont des connexions SSL bidirectionnelles. Apache accepte la connexion https et transmet la demande en tant que connexion http au serveur d'applications. Cela fonctionne bien pour nous.Centralisation des connexions SSL bidirectionnelles sortantes

Nous souhaitons utiliser le même type de mécanisme centralisé pour les connexions SSL bidirectionnelles sortantes. Y at-il un moyen de faire cela avec Apache ou un autre produit? Pour compliquer les choses, le certificat client nécessaire pour identifier le client peut varier en fonction de la destination.

En résumé: - Les clients internes se connectent via http à Apache ou à un autre produit. - Apache ou un autre produit sait en fonction d'une règle (?) Qu'une connexion bidirectionnelle SSL est requise et l'établit avec la destination. - En fonction de la destination, le bon certificat est envoyé pour identifier notre client.

Cordialement,

Nidkil

Source

2011-02-16 nidkil

Répondre

0

Qu'est-ce que vous parlez est, ou bien sûr, un serveur proxy HTTP. Dans le premier scénario, vous l'utilisez en tant que proxy transparent pour fournir un support SSL pour les connexions à un ensemble de pages Web. Dans le deuxième scénario, vous souhaitez l'utiliser pour fournir des connexions à des pages sécurisées uniquement pour le compte de clients qui utilisent le protocole HTTP.

Vous pouvez le faire avec le proxy Squid, qui est gratuit et open-source, à condition que votre machine se trouve entre les clients et Internet. Recherchez "SSLBump". Vous avez besoin d'un certificat que les clients considéreraient valide pour toutes les pages Web à être consulté (sinon ils remarqueront ce que vous faites, qui est essentiellement une attaque de type man-in-the-middle).

Cependant, je recommande fortement contre cela - si un site nécessite SSL, il est susceptible de le faire pour une raison. Il est presque certainement pas OK pour avoir des clients internes se connectant à un site de banque en ligne et vous avez à réduire leur cryptage afin que vous puissiez surveiller leur trafic ou autre ...

Source

2011-02-16 13:52:00 Borealid

+0

Thx pour la réponse rapide. Nous voulons utiliser le mécanisme de deux-ssl sortant centralisé pour les services web. L'idée est d'éviter que chaque client comprenne le protocole SSL bidirectionnel et que les certificats soient répartis dans l'organisation. Fondamentalement, nous travaillons avec des zones de confiance, de sorte que les deux parties conviennent que leur réseau interne est la zone de confiance, les connexions entre les deux réseaux/zones ne sont pas fiables et doivent être protégées par une connexion bidirectionnelle ssl. – nidkil

+0

@nikdil: Vous continuez à dire "SSL bidirectionnel". Vous savez que SSL prend en charge le client qui fournit son propre certificat, n'est-ce pas? – Borealid

+0

H. Oui, nous avons actuellement un certain nombre de clients qui implémentent eux-mêmes cette fonctionnalité. Nous ne voulons pas que les clients configurent individuellement la connexion bidirectionnelle SSL, car cela signifie que nous devons distribuer des certificats dans toute l'organisation. Nous voulons gérer cela de manière centralisée. C'est pourquoi j'essaye de trouver comment faire ceci d'un seul point. Vous avez pointé vers Squid et SSLBump. Je l'ai vérifié et ne peux pas voir si elle est capable de faire une connexion bidirectionnelle ssl. Savez-vous si c'est possible? – nidkil

Questions connexes

 Questions connexes