HTTP Reverse Proxy: modo corretto di eseguire SSL per il back-end

6

Se ho un proxy inverso HTTP che comunica con i suoi backend in un datacenter non affidabile, o attraverso i data center, vorrei usare HTTPS nel back-end, come detto qui:

Configurazione protetta proxy inverso

Come si configurerebbero questi certificati SSL? Non riesco a comprare e installare un nuovo certificato ogni volta che cambia l'indirizzo IP del back-end. Semplicemente ignorando un nome comune non corrispondente non sembra molto sicuro. Configuro la mia CA in cui posso generare automaticamente i certificati? Il proxy avrebbe usato una sorta di correzione del certificato?

Come si fa generalmente? C'è un software pronto all'uso che posso usare?

    
posta miracle2k 27.01.2014 - 10:15
fonte

1 risposta

3

Per prima cosa, imposta il tuo CN su FQDN (che è quello che dovrebbe essere in primo luogo), quindi non importa quale indirizzo IP è attivo. In secondo luogo, è possibile utilizzare certs interni se si desidera, questa è un'opzione, tuttavia questo deve essere estremamente bloccato e segmentato.

In genere quello che farei per qualcosa del genere è una delle due soluzioni, a seconda di ciò che era a mia disposizione:
 - Utilizzare certificati firmati internamente sul back-end e sul proxy inverso, utilizzare 1 certificato acquistato con il numero corretto di "unità" di server frontend. Il bonus qui è che hai chiavi separate, quindi se uno è compromesso non sei compromesso fino in fondo. Hai anche la possibilità di scaglionare le date di scadenza in modo che, se si raggiunge la scadenza, puoi portarlo fuori dal gruppo (mantenere l'uptime dell'app) mentre aggiorni tutti i certificati. Assicurarsi che il proxy inverso abbia la data di scadenza più recente.
 - Ottenere una CA esterna per firmare il certificato e copiare il certificato / chiave dal proxy inverso ai server di back-end. Qui hai una chiave in più punti, quindi se è compromessa, sei compromesso per tutto il percorso. Inoltre, se il certificato scade, scade allo stesso tempo ovunque, ma devi ancora aggiornarlo ovunque quando ricevi un nuovo certificato. Questo non è sempre legittimo, ma a VerSign non importava. Ci sono anche diversi costi a seconda dell'utente del server (attivo / passivo, primario / DR, attivo / attivo, ecc.) Quindi assicurati di discutere con la tua CA.

    
risposta data 27.01.2014 - 15:57
fonte

Leggi altre domande sui tag