不使用 Apache 或 Nginx 通过反向代理设置 https 节点服务器的最佳实践是什么

不使用 Apache 或 Nginx 通过反向代理设置 https 节点服务器的最佳实践是什么

我正在尝试通过节点代理访问 Node https 服务器。

我购买了证书,并获得了一个运行良好的独立 https 服务器。最初由于一个文件中有多个证书而出现了一些问题,但这篇文章有所帮助:

 http://stackoverflow.com/questions/16224064/running-ssl-node-js-server-with-godaddy-gd-bundle-crt.

之前,我所有的连接都是通过基于节点的反向代理 nodejitsu 的 http-proxy 模块进行的,该模块可以有效地代理 http -> http。

现在,正如预期的那样,将目标服务器更改为 https 后,代理无法工作,基本上如下:

 client -> http-proxy(public IP) -> https connection(local IP)

这实际上就是中间人攻击的场景,而这正是 https 试图消除的。

此外,我从 https 服务器收到以下错误:

 Error: Hostname/IP doesn't match certificate's altnames

证书很好,因为 https 无需中间代理即可正常工作。通过阅读一些帖子,我意识到以下内容应该有效:

 client -> https-proxy (Public IP) -> http connection (local IP)

实际的本地服务器正在运行 http 和公共 https。这是基于 http-proxy 文档中的解释:

 https://github.com/nodejitsu/node-http-proxy

在这篇文章中:

 https://nadeesha.silvrback.com/creating-a-https-proxy-in-node-js

在 http-proxy 模块文档中,似乎有对客户端 -> https(公共 IP 上的代理)-> https(本地 IP 上的代理)的解释。如果是这样,我需要在目标 https 服务器上设置哪些证书?

在尝试任何这些可能性之前,我想知道:满足这一要求的标准最佳实践是什么以及如何在节点下实现它/它们。我不想仅仅为了处理这个问题而引入 Nginx 或 Apache。我在这里完全偏离了主题吗?

答案1

client -> https-proxy (Public IP) -> http connection (local IP)

这是一个完全有效的安装,只要它https-proxy (Public IP) -> http connection (local IP)是通过安全的网络进行的 - 即您的后端服务器不会暴露在公共网络中。

client -> https-proxy (Public IP) -> httpS connection (local IP)

如果您处于私有网络中,并且只需执行加密/解密步骤即可使后端服务器和前端代理“过度工作”,则无需执行此操作。但是,在某些情况下可能需要执行此操作,而且现代计算机在执行加密/解密时不会像以前那样卡住。但同样,您是否会感觉到它取决于流量的大小。

相关内容