условия
example.com: Домен, указывающий на static server.
static server: Этот сервер имеет статический IP-адрес и Apache ProxyPass указывает на dynamic server.
dynamic server: Этот сервер находится за динамическим IP-адресом и размещает application.
application: Веб-приложение, работающее на dynamic server.
вступление
у меня есть application что будет бежать от dynamic server и домен example.com указывает на другой контролируемый мной сервер со статическим IP-адресом static server.
Пользователь перейдет в домен example.com и этот домен попадет в `статический сервер.
У меня есть Apache ProxyPass, настроенный для отправки этих запросов на мой dynamic server.
Примечание
Будет скрипт на dynamic server который обновляет виртуальный хост Apache на static server при изменении IP. (А потом еще один сценарий на static server перезапустит Apache при изменении файла виртуальных хостов.) Они почти завершены, и на данный момент это не проблема.
Вопрос
Мне нужно установить два сертификата SSL для обоих? static server и dynamic server?
Вот схема установки и то, как я считаю, что она должна работать:
example.com указывает на static server с сертификатом SSL, а затем ProxyPass в dynamic serverс собственным сертификатом SSL.
Это правильно? Или мне нужен только один сертификат SSL? Если мне нужен только один, на какой сервер он должен перейти?
Все зависит от того, чего вы пытаетесь достичь с помощью сертификатов TLS.
Если вам нужна аутентификация и шифрование для клиента, вам понадобится сертификат TLS для static server.
Если связь между static server и dynamic server является безопасным (например, в частной сети или VPN), то вам может не понадобиться HTTPS между ними, и в этом случае будет достаточно HTTP-соединения.
Однако, если это происходит (например) через Интернет, вам понадобится второй сертификат TLS на dynamic server для аутентификации и шифрования трафика между ними. Если static server единственный пользователь dynamic server тогда вы можете использовать для этого самозаверяющий сертификат или использовать свой собственный CA.
Сертификат TLS на static server не означает, что трафик между этим и dynamic server превышает HTTPS - вам все равно нужен сертификат на dynamic server чтобы это соединение было безопасным. Точно так же сертификат на dynamic server не означает, что трафик между клиентами и static server превышает HTTPS. По сути, это две независимые связи.