Nous souhaitons utiliser Apache comme proxy inverse pour une collection de serveurs d'applications. Nous prévoyons de placer un certificat SSL signé par une autorité de certification sur l'instance Apache, mais nous souhaitons utiliser des certificats autosignés sur les instances du serveur d'applications (de sorte que la connexion entre Apache et l'application a également été cryptée). Nous ne souhaitons pas installer un certificat SSL signé par une autorité de certification sur les instances du serveur d'applications si nous n'avons pas à le faire. Apache permettra-t-il cette configuration d'avoir des certificats auto-signés sur les instances du serveur d'applications?Un certificat autosigné fonctionnera-t-il derrière un proxy inverse Apache?
Répondre
Si vous disposez d'une grande quantité de serveurs d'applications, il serait probablement plus judicieux d'avoir votre propre autorité de certification interne, au lieu de devoir gérer chaque certificat auto-signé un par un.
Si vous voulez les connexions entre un proxy inverse Apache httpd et ses nœuds travailleurs à utiliser le protocole HTTPS, vous pouvez configurer les certificats approuvés par Apache en utilisant les SSLProxy* directives de mod_ssl (comme indiqué dans l'introduction de la documentation mod_proxy) en particulier SSLProxyCACertificateFile.
Pour cela, vous devrez utiliser mod_proxy_http, car les connexions AJP ne sont pas effectuées via SSL/TLS.
Cela ne répond pas à la question. Apache autorise-t-il les certificats autosignés sur les serveurs mandatés? Eh bien, à partir d'une configuration de test, j'ai l'impression que ça fonctionne. Ce serait bien s'il y avait une confirmation officielle de cela. Dans mon test, si je navigue directement sur le proxy via mon navigateur Web, je suis invité à accepter le certificat auto-signé. Je ne m'attendais donc pas à ce que cela fonctionne via Apache, mais c'est le cas. Je m'attendais à devoir mettre à jour le keystore/truststore d'Apache pour inclure le cert autosigné, mais je n'avais même pas besoin de le faire. – Ryan
@Ryan, pourquoi cela ne répond pas à la question? Les directives 'SSLProxy * 'sont celles requises et documentées. Vous avez raison, je n'ai pas mentionné explicitement 'SSLProxyVerify', qui est malheureusement' none' par défaut (vous voudriez 'require'), la valeur par défaut de' SSLProxyCheckPeerCN' a aussi changé entre Apache Httpd 2.2 et 2.4. – Bruno
La réponse n'était pas claire pour moi au départ. Après avoir lu la documentation mod_ssl et mod_proxy, votre réponse est beaucoup plus logique. Les valeurs par défaut pour SSLProxyVerify et CheckPeerCN expliquent également pourquoi «cela fonctionne» sans que j'aie besoin de dire à Apache de faire confiance au certificat auto-signé. On dirait que j'ai besoin de comprendre les directives SSLProxyCA * pour qu'Apache fasse confiance à mon certificat autosigné – Ryan
- 1. WebDAV derrière un proxy inverse
- 2. Webservice WCF derrière un proxy inverse public
- 3. WordPress dans un sous-répertoire derrière un proxy inverse
- 4. Certificat SSL Apache configuré pour le proxy inverse
- 5. proxy inverse apache change url
- 6. Problèmes de proxy inverse Apache
- 7. Authentification proxy inverse Apache via PHP
- 8. axis2 webapp derrière un proxy inverse produisant de mauvais emplacements
- 9. Nouveau certificat sur le proxy inverse Squid
- 10. Problèmes Configuration d'un proxy inverse dans Apache
- 11. ASP.NET customErrors derrière le proxy inverse nginx
- 12. Dns.GetHostEntry derrière un proxy
- 13. Zend_Feed_Reader derrière un proxy
- 14. WebSphere Portal derrière le proxy inverse et getServerPort()
- 15. Faire confiance à un certificat autosigné sur https
- 16. aller recevoir un certificat autosigné de l'hôte distant
- 17. Configurer Apache Ant à utiliser derrière un proxy
- 18. mettre en place apache derrière un proxy direct
- 19. Proxy inverse sur Apache (pour QNAP)
- 20. Proxy CouchDB? Apache en tant que proxy inverse?
- 21. RubyGems derrière un proxy: InvalidArgument
- 22. Stratégies pour gérer les URI lors de la création d'une application derrière un proxy inverse
- 23. Lecture de l'application derrière un proxy apache avec un sous-uri ne fonctionnant pas
- 24. Fournisseur de services SAML2 sur un port non standard derrière un proxy inverse
- 25. Comment configurer le proxy inverse Apache avec le cryptage SSL?
- 26. Jira 5.2 Seraph SSO Connexion derrière le proxy inverse
- 27. Opensso s'exécute derrière le problème de redirection de proxy inverse
- 28. installer un certificat ssl apache
- 29. Wordpress derrière les questions d'administration de proxy inverse
- 30. Erreur en utilisant restlet derrière vernis (proxy inverse)
Peut-être que cela vous aidera: [SSLProxyCheckPeerCN] (http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslproxycheckpeercn)? – noodl