我有一台 Ubuntu 14 LTS / Apache 2.4 服务器,配置了 mod_proxy/mod_rewrite 用作反向代理。后端的其中一台服务器太旧,无法支持 TLS。我想禁用 SSL 作为客户端与前端代理进行通信的选项,同时仍然允许代理在后端使用 SSL 与旧服务器进行通信。
这可能吗?
答案1
解决方案实际上非常简单。
客户端如何连接到反向代理的密码/协议设置不会影响反向代理如何协商与后端服务器的连接。
换句话说,我能够禁用 SSL 并强化反向代理上的密码,并且反向代理仍然能够使用较弱的协议连接到旧的后端服务器。
出于好奇,我在运行 Apache 2.4.7 的 Ubuntu 14.04 LTS 服务器上的 /etc/apache2/mods-enabled/ssl.conf 文件中使用了以下设置来禁用 SSL 并强化所使用的密码:
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5 :!决策支持系统 SSL荣誉密码订购 SSL协议全部-SSLv3 # 注意:不要像某些网站建议的那样添加 -SSLv2 (已经不支持)