使用 Apache 反向代理建立新的安全网站

使用 Apache 反向代理建立新的安全网站

我希望建立一个新网站,供用户使用 HTTPS 访问。我认为将“真实”Web 服务器放在单独的子网中,然后在 DMZ 中安装 Apache 反向代理是一种很好的做法。

我的问题是,我应该把 SSL 证书放在哪里?我应该

A)在“真实”的 Web 服务器上使用自签名证书,并在反向代理上使用适当的证书?

b)在“真实” Web 服务器和反向代理上都使用 2 个真实证书?

C)不要在“真实”的 Web 服务器上使用任何证书,并在反向代理上使用适当的证书?

如果可能的话,我想使用 a) 或 c)。我也不希望任何人的浏览器抱怨自签名证书。

谢谢

答案1

看看这个链接安全套接字

答案2

通常,Web 服务器会位于非军事区除非出于特殊原因,它们包含受限制或机密的信息。数据库通常包含这些数据,这些数据位于更受限制的子网中。

现代 DMZ 通常是一个内部保留子网。边缘网络上会有一个防火墙,为该子网提供 NAT。我描述的是双防火墙配置。

SSL 证书在 Web 服务器所在的网络段上是可接受的。除非当时有其他考虑,否则我通常倾向于在合理可能的情况下加密。在您描述的所有情况下,我都会使用 CA 签名的 SSL 证书。

相关内容