Crittografia end-to-end con un proxy inverso e un server applicazioni

2

Diciamo che ho un reverse proxy nginx che trasmette proxy al traffico verso un Tomcat sullo stesso server. Penso che il modo più comune per configurare questa configurazione sia abilitare SSL su nginx e quindi proxy il traffico non crittografato su Tomcat. Fin qui tutto bene. Il traffico inizia a crescere e decido di spostare il tomcat su un altro server per motivi legati alle prestazioni. Ora la connessione tra nginx e Tomcat non è protetta (http).

Come dovrei prepararmi per questo problema di sicurezza? Devo tunnelare il traffico attraverso un tunnel SSH dal server nginx al Tomcat? I miei server potrebbero trovarsi in un servizio cloud, quindi la connessione tra loro non è sicura (per quanto ne so).

    
posta anssias 05.03.2015 - 09:43
fonte

1 risposta

2

Quello che vuoi è " SSL upstream ".

Questo è quando si crittografa nuovamente la connessione back-end con Nginx. Non è necessario acquistare un altro certificato. Puoi utilizzare certificati autofirmati per il back-end.

Discusso qui: StackOverflow: bilanciamento del carico Nginx con SSL upstream
e qui: ServerFault: configura Nginx come proxy inverso con SSL upstream

Blog qui: " Offloading SSL, crittografia e certificati con NGINX (archiviato here .)
Insistono nel chiamare questa crittografia "end-to-end" nel loro blog. (Mi fa impazzire il fatto che lo facciano. Se riattivi la crittografia, allora non sei più una crittografia end-to-end.)
(Ma Citrix è colpevole dello stesso terminologia sin con il proprio" NetScaler " loadbalancer. (Archiviato qui .))

    
risposta data 05.03.2015 - 10:16
fonte

Leggi altre domande sui tag