2

我目前正在使用 lighty 作为在小型 HTTP 服务器场上运行的两个不同 Web 应用程序的负载平衡反向代理:

  • 轮询(URL_1)=> Server_Group_1
  • 轮询(URL_2)=> Server_Group_2

我想将 HTTP 服务器转换为 HTTPS 服务器。URL_1 具有 CERT_1,URL_2 具有 CERT_2。与许多人不同,我不想从前端代理提供证书。我希望前端代理将 HTTPS 请求传递给二级代理:Proxy_1(服务于 CERT_1)和 Proxy_2(服务于 CERT_2)。

这应该可以通过 SNI(服务器名称指示)实现。但是我读到的关于 SNI 的所有内容都给出了前端代理服务两个证书的例子。我不想将我的两个证书都放在前端代理上。说我疯了,但我实际上想让证书更靠近应用程序。

对于两个 URL,这似乎很麻烦。这是。我的真实案例涉及几十个网址。因此,不将所有证书存储在一个地方似乎很愚蠢。但是有一些“组织考虑”使得分开管理它们是有利的。

所以基本上,我想使用 SNI 进行纯转发并将 SSL 终止推迟到下游。

谢谢阅读。我希望能从中学到很多东西

4

1 回答 1

4

您正在尝试做的事情不依赖于 HTTP 反向代理,而是依赖于 TCP 连接级别的反向代理,具有能够识别 SSL/TLS 客户端的附加功能您好,查找服务器名称扩展名和相应地发送。

我意识到这不是您正在寻找的答案,但我不会为此查看 HTTP 服务器。

看起来这个项目可能能够做到这一点(我没有尝试过)。

于 2012-07-21T03:35:41.907 回答