web-dev-qa-db-ja.com

複数のSSL証明書を備えたポンドプロキシ

SSLが仮想ホスト名をサポートしていない Pound Webサイトを読んだ後、これは実際にはかなり前向きで、私には明らかなようです。 SSL接続を終了するポンドロードバランサーを使用しています。その背後のWebサーバーがホスト名に基づいて複数のサイトを実行している場合、これらの異なるホストに複数のSSL証明書を使用するようにポンドを構成できますか。

これを行う唯一の方法は、SSLを使用する各サイトのロードバランサーに別のIPを割り当て、特定のサイトのIPとポートの組み合わせの証明書を構成することです。

誰かがこれをやっていますか?これはうまくいきますか?

[〜#〜]更新[〜#〜]

理想的には、誰もが私がそれについて読むことができるように、それが最良の解決策となる設定例を共有できるなら。ありがとうございました。

7
jwbensley

ここに投稿する前に、私はあまりにも熱心で、十分な調査をしていなかったようです。 Poundは SSL SNI (SSLv3の場合)をサポートしているため、複数の「Cert」ステートメントを使用して複数の証明書ファイルを指定するだけで、Poundは受信リクエストに適切なファイルを選択します。

[ホストしていないドメインのPound over SSLにリクエストが送信されたために証明書がない場合、Pound(少なくとも私にとって)はリストの最初の証明書を使用しているため、ブラウザにSSLエラー]。

SNIは、最新のブラウザーのほとんどでサポートされています。 2012年の第4四半期には、それほど多くはないと思います IE 5&6 users たとえば、敷居;)

これは私のために働くサンプルの基本的な設定です。

ListenHTTPS
    Address my.public.facing.ip
    Port    443
    Cert    "/etc/ssl/certs/www.sslsite1.com.pem"
    Cert    "/etc/ssl/certs/www.sslsite2.com.pem"

    Service
        BackEnd
            Address 192.168.0.10 # A web server IP
            Port    80
        End
    End
End
11
jwbensley

いくつかの異なるSSL Webサイトを提供するPoundがあります。異なるサイトごとに別々のListenHTTPSを使用するだけです。

1
alexus