Назад | Перейти на главную страницу

Pound Proxy с несколькими сертификатами SSL

После прочтения Фунт веб-сайт, что SSL не поддерживает имена виртуальных хостов, это на самом деле кажется мне довольно прямолинейным и очевидным сейчас. У меня есть балансировщик нагрузки фунта, с которым я хочу прервать SSL-соединения. Если на стоящем за ним веб-сервере работает несколько сайтов на основе имени хоста, могу ли я настроить pound для использования нескольких сертификатов SSL для этих разных хостов.

Единственный способ сделать это, о котором я могу думать, - это назначить другой IP-адрес балансировщику нагрузки для каждого сайта, который хочет использовать SSL, и настроить сертификат для этой комбинации IP-адреса и порта для определенного сайта.

Кто-нибудь делает это, это сработает?

ОБНОВИТЬ

В идеале, если кто-нибудь может поделиться примером конфигурации, это было бы лучшим решением, чтобы я мог прочитать об этом. Спасибо.

Похоже, я был слишком нетерпелив и недостаточно исследовал, прежде чем опубликовать здесь. Как фунт поддерживает SSL SNI (для SSLv3) я могу просто использовать несколько операторов «Cert», чтобы указать несколько файлов сертификатов, и Pound выберет подходящий для входящего запроса.

[Если запрос поступает в Pound через SSL для домена, который я не размещаю и, следовательно, не имею сертификата для него, Pound (по крайней мере, для меня) просто использует первый сертификат в списке, который заставляет браузер показывать Ошибка SSL].

SNI поддерживается большинством современных браузеров. Я не думаю, что в последнем квартале 2012 года было слишком много Пользователи IE 5 и 6 например подоконник вокруг;)

Это образец базовой конфигурации, которая мне подходит;

ListenHTTPS
    Address my.public.facing.ip
    Port    443
    Cert    "/etc/ssl/certs/www.sslsite1.com.pem"
    Cert    "/etc/ssl/certs/www.sslsite2.com.pem"

    Service
        BackEnd
            Address 192.168.0.10 # A web server IP
            Port    80
        End
    End
End

У меня есть Pound, который обслуживает несколько разных веб-сайтов SSL, просто используйте отдельный ListenHTTPS для каждого отдельного сайта.