web-dev-qa-db-ja.com

リバースプロキシは、SSLパススルーでSNIを使用できますか?

1つの外部IPアドレスを使用して、https経由で複数のアプリケーションを提供する必要があります。

SSL証明書をリバースプロキシで管理しないでください。これらはアプリケーションサーバーにインストールされます。

エンドポイントでの終了のためにSNIを使用してsslを渡すようにリバースプロキシを構成できますか?

これはNginxやApacheなどを使用して可能ですか?構成はどのように見えますか?

reverse-proxyhttpssni
18
user319862

これはIS Haproxyで可能です。TCPプロキシをセットアップしてSNIを抽出し、SNIに基づいてルーティングを行うことができます。例は次のとおりです。

backend be.app1
    mode tcp
    no option checkcache
    no option httpclose
    tcp-request inspect-delay 5s
    tcp-request content accept if { req.ssl_hello_type 1 }
    tcp-request content reject
    use-server server1 if { req.ssl_sni -m beg app1. }
    server server1 server1:8443 check id 1 weight 0

SSL helloを取得するまで要求を遅らせることが不可欠です。そうしないと、haproxyがSNIヘッダーを受信する前に接続を試みます。

現在の構成では、SNIごとに1つのサーバーしか実行しておらず、ランダムな要求を受信したくないので、重み0のサーバーを使用しています。あなたはおそらくこれで遊ぶより良い方法を見つけることができます。

これがお役に立てば幸いです。

14
Florin Asăvoaie

Sniproxyを使用できます: https://github.com/dlundquist/sniproxy

設定例:

listener 0.0.0.0:443 {
    protocol tls
    table TableHTTPS
    fallback 127.0.0.1:8443
}

listener 0.0.0.0:80 {
    protocol http
    table TableHTTP
    fallback 127.0.0.1:8080
}

table TableHTTPS {
    domain1.com backend1:443
    domain2.org backend2:443
}

table TableHTTP {
    domain1.com backend1:80
    domain2.org backend2:80
}
5
mick

これは確かに可能ですが、2019年にTLS 1.3が登場する今でもです!多くのWebサーバーまたは特殊なリバースプロキシは、この機能をそのまま使用できます。

  • Nginx≥1.11.5(Debian≥バスターまたはストレッチバックポート)
  • HAProxy≥1.5(Debian≥jessie)
  • Sniproxy(Debian≥バスター)
  • 等.

これはNginxの設定例です。これは、リバースプロキシを必要とするセットアップで非常に一般的な選択肢です。

stream {
  map $ssl_preread_server_name $selected_upstream {
    example.org upstream_1;
    example.net upstream_2;
    example.com upstream_3;
    default upstream_4;
  }
  upstream upstream_1 { server 10.0.0.1:443; }
  upstream upstream_2 { server 10.0.0.2:443; }
  upstream upstream_3 { server 10.0.0.3:443; }
  upstream upstream_4 { server 10.0.0.4:443; }
  server {
    listen 10.0.0.5:443;
    proxy_pass $selected_upstream;
    ssl_preread on;
  }
}

関連するNginxモジュールはstream_coreおよびstream_ssl_preread。マニュアル:

2
vog

ターゲットサーバーが同じ証明書を使用する場合(ワイルドカード証明書が使用されている場合はそれほど考えられません)、HTTP/2を使用できないことに注意してください。トラフィックを間違ったサーバーにルーティングします。

サンプル:

  • a.example.comと証明書* .example.com
  • 証明書* .example.comを含むb.example.com

A.example.comとb.example.comが同じリバースプロキシによって処理される場合、単一の接続が開かれ、最初に呼び出されたサーバーにストリーミングされます。したがって、a.example.comを呼び出すと、b.example.comへの今後のリクエストが間違ったWebサーバーに到達する可能性があります。

参考までに、

0
turbophi