我需要一些关于如何解决我遇到的一个设置的小提示,即客户端想要访问托管在api.foo.com(我们的域名,带有 *.foo.com证书)使用api.bar.com(客户的域名)。
该请求使用内部静态 IP 寻址通过点对点 VPN 从他们的基础设施路由到我们的基础设施。
因此客户提出请求https://api.bar.com并到达隧道我们这边的一个静态 IP,我们在那里放置了一个使用 nginx 的反向代理,该代理将该请求转发到https://api.foo.com
在这种情况下,代理响应具有 CN=*.foo.com并且由于客户期望 *.bar.comTLS 握手在验证所有权时失败。
我想到的唯一解决方案是:
- 不要在客户端和代理之间使用 HTTP,而要依靠 VPN 本身的安全性
- 在我们这边的代理上使用客户端证书,但是这将需要请求他们的私钥来进行设置,而且从明显的原因来看似乎是错误的。
欢迎任何能提供一些帮助,
谢谢你!