Pound Proxy с несколькими SSL-сертификатами
После прочтения на веб-сайте Pound, что SSL не поддерживает имена виртуальных хостов, на самом деле это кажется довольно прямолинейным и очевидным для меня сейчас. У меня есть фунт-балансировщик нагрузки, с которым я хочу разорвать SSL-соединения. Если веб-сервер за ним работает несколько сайтов на основе имени хоста, я могу настроить фунт для использования нескольких SSL-сертификатов для этих разных хостов.
Единственный способ сделать это, о котором я могу подумать, - это назначить другой IP-адрес для балансировщика нагрузки для каждого сайта, который хочет использовать SSL, и настроить сертификат для этой комбинации IP-адреса и порта для определенного сайта.
Кто-нибудь делает это, будет ли это работать?
ОБНОВИТЬ
В идеале, если кто-то может поделиться примером конфигурации, это было бы лучшим решением, чтобы я мог прочитать об этом. Спасибо.
2 ответа
Похоже, я слишком старался и не проводил достаточно исследований, прежде чем размещать здесь. Поскольку Pound поддерживает SSL SNI (для SSLv3), я могу просто использовать несколько операторов "Cert", чтобы указать несколько файлов сертификатов, и Pound выберет подходящий для входящего запроса.
[Если в Pound over SSL поступает запрос для домена, который я не размещаю и, следовательно, не имею сертификата, Pound (по крайней мере, для меня) просто использует первый сертификат в списке, который заставляет браузер отображать Ошибка SSL.
SNI поддерживается большинством современных браузеров. В последнем квартале 2012 года, я не думаю, что слишком много пользователей IE 5 & 6, например, бездельничают;)
Это пример базовой конфигурации, которая работает для меня;
ListenHTTPS
Address my.public.facing.ip
Port 443
Cert "/etc/ssl/certs/www.sslsite1.com.pem"
Cert "/etc/ssl/certs/www.sslsite2.com.pem"
Service
BackEnd
Address 192.168.0.10 # A web server IP
Port 80
End
End
End
У меня есть Pound, который обслуживает несколько разных SSL-сайтов, просто использую отдельный ListenHTTPS для каждого отдельного сайта, вот и все.