Joh*_*nst 6 apache ssl proxy virtual-hosts sni
example1.com和example2.com解析为host0.host0运行带有两个VirtualHost的Apache反向代理.它将example1.com的请求委托给host1,将example2.com的请求委托给host2.
在所有地方使用http,显然可以使用.
使用https,我可以将example1.com和example2.com的密钥粘贴在host0上,然后让host0与host1和host2对话http或https.鉴于SNI,这也应该有效.
我的问题:如果没有host0.com上的example1.com或example2.com密钥,它可以工作吗?我想避免host0能够执行中间人攻击.
如果我正确理解SNI,则仅在客户端将所需的虚拟主机传送到host0之后才交换密钥材料.这应该是(?)足够的信息,以便Apache基本上转发到host1或host2的连接,而根本不查看传输的内容.这根本不需要关键材料.
您真的需要 Apache 反向代理,还是需要解决问题?我遇到了同样的问题,我用 TCP 模式下的 HAProxy 解决了这个问题,如下所述http://blog.haproxy.com/2012/04/13/enhanced-ssl-load-balancing-with-server-name-induction-sni -tls-extension/而不是 Apache 反向代理。