Назад | Перейти на главную страницу

Обратный прокси Squid с несколькими SSL-сертификатами через SNI

Делает Прокси-сервер предлагает возможность предоставить ему несколько сертификатов SSL?

У меня есть сервер с различными виртуальными машинами, на которых работают веб-серверы Apache для разных клиентов. В качестве экономической альтернативы продаже клиентам одного выделенного IP-адреса я хотел бы по крайней мере (объяснить последствия и) предложить им решение с использованием на общем IP-адресе серверной машины.

Допустим, у нас есть Сервер с 4 доменами: domain1a.com, domain1b.com, domain2a.com и domain2b.com. Домен domaina1.com и domainb1.com размещаются в том же экземпляре Apache на виртуальной машине, как и два других домена. Каждая виртуальная машина имеет преобразованный в NAT локальный IP-адрес IPv4, на который должны отправляться запросы.

Все запросы HTTP (S) должны проходить через кеширующий прокси-сервер для обеспечения скорости и совместного использования IP-адреса сервера. Таким образом, решение должно предлагать завершение SSL и SNI.

Еще в 2013 году ответ на этот вопрос указал на неспособность Squid использовать SNI. Однако, начиная с Squid 3.5, он поддерживает SNI с просмотр и стыковка.

Насколько я понял, у меня есть варианты с Squid

  1. использовать самозаверяющий центр сертификации и генерация динамического сертификата , или
  2. используйте сертификат с несколькими именами SAN, в котором перечислены все домены, размещенные на (физическом) сервере.

(1) явно не работает, потому что мы не можем установить самозаверяющий сертификат CA на каждый компьютер посетителя веб-сайта (к счастью!).

(2) не работает для меня, потому что он был бы очень негибким и раскрыл бы каждый домен, размещенный на (физическом) сервере.

Я что-то здесь пропустил? Могу ли я предоставить Squid несколько сертификатов SSL для SNI? Если это невозможно: какие альтернативы подходят для моей ситуации?

Заранее спасибо!

К сожалению, ответа пока нет. Текущая причина просто в том, что еще не существует последних частей необходимой сантехники. Все необходимые компоненты существуют в Squid-4 и используются для перехвата TLS. Но их еще предстоит объединить таким образом, чтобы можно было использовать обратный прокси.