WAN IP 的 SSL 证书

【问题标题】:SSL Certificate for WAN IPWAN IP 的 SSL 证书
【发布时间】:2019-04-15 09:24:54
【问题描述】:

我在安装 SSL 证书时遇到了一些问题。

情况如下: 我已经为域 client.lexcelera.com 购买了证书。 问题是 client.lexcelera.com 通过 WAN 连接重定向到我们的 livebox IP。 因此,当我在我们的服务器(本地服务器)上安装证书时,出现证书不匹配错误。

我在 CentOs 6.4 服务器上使用 aol 服务器。我们正在使用 pound 来监听端口。

这里是磅.cfg 文件:

ListenHTTP
        Address 0.0.0.0
        Port    85 
End

ListenHTTPS
        Address 0.0.0.0
        Port    443
        Cert    "/etc/ssl/certs/server.pem"
        Service
                HeadRequire "Host:\s*client\.lexcelera\.com.*"
                BackEnd
                        Address 80.15.156.1
                        Port    8000
                End
        End
End

(80.15.156.1是livebox IP)

我不确定在这种情况下我应该做什么。 有什么想法吗?

谢谢!

【问题讨论】:

    标签: ssl centos6 aolserver


    【解决方案1】:

    听起来磅正在充当反向代理。如果是这样,您将只在托管磅的服务器上安装公共证书 - 而不是在后端服务器上。事实上,后端连接使用不带 ssl 的 HTTP 是很常见的。

    如果您确实需要代理和后端之间的传输安全性,则应使用代理信任的第二个自签名证书。

    作为第三种但不必要的复杂选项,您可以使用裂脑 DNS,但这种做法很少可取。

    【讨论】:

    • 感谢您的回答。托管服务器是本地的。 client.lexcelera.com 供客户通过 OVH 上的 DNS 重定向在线访问我们应用程序的服务。这种情况下不需要 SSL 证书吗?
    • 如果后端服务器和代理服务器在受信任的网络上,那么我只会在客户端和代理之间使用 HTTP,而在代理和后端服务器之间使用 HTTP。如果您正在处理一个恶意行为者可能危及您的本地网络的威胁模型,那么我会为后端服务器使用自签名证书。
    • 好的,我明白了,谢谢你的详细信息。因此,如果我最终不得不为后端服务器设置自签名证书,那么我需要为 OpenMat.lexcelera.local 进行设置,对,而不是 client.lexcelera.com?
    猜你喜欢
    • 2020-09-28
    • 2020-09-28
    • 1970-01-01
    • 2014-08-30
    • 2011-11-25
    • 2011-11-07
    • 2021-01-03
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode