如果我为我的网站购买 SSL 证书并将其安装到 Sophos 防火墙。如果将 443 端口转发到内部主机 (192.168.1.100:443),它会有效吗?还是应该直接将其安装到 Web 服务器上?
答案1
客户端 TLS 验证(简化)的工作方式如下。客户端连接到服务器(假设为 example.com),获取服务器证书并检查,然后证书中的名称与 example.com 匹配。如果您在服务器上安装了 SSL 证书,则您的防火墙应该终止 SSL 并将流量转发到您的服务器而无需 TLS。
如果您要使用端口转发,那么一个更简单的选择是在内部主机上安装证书。
答案2
这完全取决于设备的配置。
如果您的防火墙充当反向代理,或提供 Web 应用程序防火墙功能或 SSL 检查,则需要在防火墙上安装证书。这些构成了外部设备上 TLS 终止的大部分内容。外部设备可能是本地防火墙、CloudFlare 等 Web 服务。
如果防火墙严格执行端口转发到内部服务器,则证书需要存在于内部服务器上,而不是防火墙上。这更简单,但安全性却低得多。