我想在运行 Apache httpd 和 Nginx 的 Linux Web 服务器上使用 OCSP 装订 SSL 证书。然而,Nginx 和 Apache 默认情况下都希望直接访问 OCSP 响应程序。
但是,我的网络服务器位于使用直接服务器返回/直接路由的负载均衡器后面,因此我的主机配置了公共 IP 地址,并且确实接收和应答这些公共 IP 上的传入流量,但我的服务器无法将这些公共 IP 用于新的流量。 ,始发连接。服务器在私有(非公共 IP 空间)网络上运行,无法通过 NAT 访问公共 Internet,而是通过 HTTP 代理访问。
从安全角度来看,这完全没问题。我不想仅仅为了 OCSP 装订而在网络上引入 NAT,而且我完全可以使用 HTTP 代理来处理 OCSP 请求(无论如何都是 HTTP)。
对我来说,“最佳”解决方案就是在哪里配置 Apache/Nginx 以使用 HTTP 代理来访问 OCSP 响应程序 - 但据我所知,没有选项可以这样做。
我遇到的最接近的选择是
所有这些选项对我来说看起来都不太好,并且确实有严重的缺点(netfilter-NAT 基于 IP;每当 ocsp 响应器的目标 …