После прочтения Фунт веб-сайт, что SSL не поддерживает имена виртуальных хостов, это на самом деле кажется мне довольно прямолинейным и очевидным сейчас. У меня есть балансировщик нагрузки фунта, с которым я хочу прервать SSL-соединения. Если на стоящем за ним веб-сервере работает несколько сайтов на основе имени хоста, могу ли я настроить pound для использования нескольких сертификатов SSL для этих разных хостов.
Единственный способ сделать это, о котором я могу думать, - это назначить другой IP-адрес балансировщику нагрузки для каждого сайта, который хочет использовать SSL, и настроить сертификат для этой комбинации IP-адреса и порта для определенного сайта.
Кто-нибудь делает это, это сработает?
ОБНОВИТЬ
В идеале, если кто-нибудь может поделиться примером конфигурации, это было бы лучшим решением, чтобы я мог прочитать об этом. Спасибо.
Похоже, я был слишком нетерпелив и недостаточно исследовал, прежде чем опубликовать здесь. Как фунт поддерживает SSL SNI (для SSLv3) я могу просто использовать несколько операторов «Cert», чтобы указать несколько файлов сертификатов, и Pound выберет подходящий для входящего запроса.
[Если запрос поступает в Pound через SSL для домена, который я не размещаю и, следовательно, не имею сертификата для него, Pound (по крайней мере, для меня) просто использует первый сертификат в списке, который заставляет браузер показывать Ошибка SSL].
SNI поддерживается большинством современных браузеров. Я не думаю, что в последнем квартале 2012 года было слишком много Пользователи IE 5 и 6 например подоконник вокруг;)
Это образец базовой конфигурации, которая мне подходит;
ListenHTTPS
Address my.public.facing.ip
Port 443
Cert "/etc/ssl/certs/www.sslsite1.com.pem"
Cert "/etc/ssl/certs/www.sslsite2.com.pem"
Service
BackEnd
Address 192.168.0.10 # A web server IP
Port 80
End
End
End
У меня есть Pound, который обслуживает несколько разных веб-сайтов SSL, просто используйте отдельный ListenHTTPS для каждого отдельного сайта.