如果SSL 证书必须与浏览器中输入的名称匹配;如果在访问 SSH 网关后面的服务器时,在浏览器中输入的名称是https://localhost:8080,并且通过以下方式访问本地端口转发?
我是否应该在客户端上添加名称/IP 对/etc/hosts,使我的证书同名,然后输入https://forwarded-server-beyond-ssh-gw:8080以通过 SSL 访问它?
我意识到加密隧道然后加密 https 请求可能有点过头了,但如果有人进入我的 DMZ,他们就能看到 DMZ 子网上的流量,所以无论如何,这样做可能是个好主意。
答案1
浏览器中的 SSL 仅是浏览器确认两个端点通过安全层与(在您的情况下)已确认的 SSL 发行者进行通信的要求。因为您也可以拥有自签名 SSL。
在后端,您可以使用任何服务,即使是非加密的服务,也可以通过本地 web 服务(如 nginx/apache2)进行简单的路由/代理,它将负责访问者和您的端点之间的协商,例如:https://forwarded-server-beyond-ssh-gw:8080