我正在运行代理服务,因此我只能使用 TCP 直通,否则用户会收到证书警告。
不幸的是,我们对 tcp 日志了解甚少,我想确保服务器上没有进行任何非法活动。
所以问题是 - 是否可以在解密的同时通过 HTTPS要求存储 http 日志?
谢谢。
答案1
TLS(即 HTTPS)使用两种密钥交换方法:RSA 密钥交换和 Diffie-Hellman (DH)。
理论上,只要客户端知道服务器证书的私钥,就可以使用 RSA 密钥交换加密原始流量,同时仍能解密内容。但 haproxy 不支持此功能,而且 RSA 密钥交换在当今被认为是过时的加密技术,因此最好不要使用。
通过 DH 密钥交换,这种被动内容解密在设计上是不可能的。
另一种可行的方法是终止客户端在 haproxy 上的 TLS 连接,并从 haproxy 创建另一个到目标服务器的连接,这也是 haproxy 支持的。这要求 haproxy 同时拥有服务器的证书和私钥。但如果需要相互认证,这将不起作用,因为 haproxy 无法将原始客户端证书传递给服务器,因为 haproxy 没有客户端证书的私钥。