如何为不同的源地址提供不同的 TLS 证书

如何为不同的源地址提供不同的 TLS 证书

我想为同一网站提供针对不同范围的源 IP 地址的不同 TLS 证书。例如,在一个区块中,我希望用户连接到浏览器,其中公司的本地 CA 安装在客户端的根信任存储中。在另一个区块中,将有另一组没有该本地 CA 的用户,因此我想提供自签名证书或由其公司 CA 签名的证书。在另一个区块中将是 M2M 连接,其中只需要简单的自签名证书。

我已经阅读过有关在 Apache Traffic Server 中使用 ssl_multicert.config 或使用服务器名称指示(SNI)的信息,但是这些都处理目标 IP(服务器),而不是源 IP(客户端)。

我知道我可以为每个证书在单独的端口上运行 Apache,然后使用 iptables 中的 REDIRECT 跳转目标。我正在寻找一种干净的方法来仅使用 Apache (2.4) 配置选项来执行此操作。有人知道吗?

答案1

如果你使用信噪比感知 Web 服务器,然后您可以在同一 Web 服务器上实现以下逻辑,利用 HTTP 服务器的单个 IP 地址,并根据每个用户的 IP 地址为每个用户组提供不同的 SSL 证书。

用户将根据其 IP 地址路由到特定的 Web 服务器,HA代理

HAproxy2apache

相关内容