我们的工作场所有一个小型的托管基础设施。
最简单形式的网络:
互联网(无 IP 用于 DNS)>>(公共 IP)防火墙(私有 IP 192.168.XX/24(NAT))>> 反向代理 >>> Web 服务器
目前,当客户端连接到我们的 Web 服务时,他们必须通过 HTTP 进行连接。我们正在努力实现 HTTPS (SSL)。由于我们的设置性质,我们使用通配符 SSL 证书。
我的问题:
通配符 SSL 证书是否只需要安装在反向代理服务器上?它处理对我们的 Web 服务器(其中至少有 10 个)的所有请求。
是否需要在反向代理后面的每个 Web 服务器上安装通配符 SSL 证书?
是否需要在防火墙上安装或实施通配符 SSL 证书?
提前感谢任何反馈!
答案1
- 由于反向代理终止了 HTTPS 连接的 TLS 部分,因此需要在那里安装证书。
- 这取决于您的具体设置:反向代理要么使用纯 HTTP(无 TLS)与内部服务器通信,要么使用 HTTPS 和您自己创建的证书(需要反向代理信任),或者可以使用 HTTPS 和您在外部使用的相同公共证书。只有在最后一种情况下,才需要在内部服务器上安装公共证书。但这不是推荐的方式,因为它不必要地将公共证书的秘密私钥暴露给多个地方,这些地方甚至可能有不同的管理员。
- 如果防火墙仅执行 NAT 和数据包过滤,并且特别不执行任何内容检查 HTTPS 流量(即没有 Web 应用程序防火墙或类似防火墙),则不会安装证书。