我目前正在迁移到新主机。在 apache 中,大约有 20 个域都设置为基于名称的 VHost。
我读到了 Apache 的反向代理能力作为克服 DNS 停机时间的一个想法,因为并非所有域都在我的直接控制之下,而且我不确定它们的所有者将如何准时更新它们。
由于这是通过 Internet 代理敏感数据,因此我一直需要 SSL。
源服务器上的虚拟主机:
ServerAdmin [email protected]
ServerName abc.domain.com
SSLEngine On
SSLCertificateFile /path/to/cert
SSLCertificateKeyFile /path/to/key
SSLProxyEngine On
ProxyRequests Off
ProxyPreserveHost On
UseCanonicalName On
SSLProxyVerify require
SSLProxyCheckPeerName On
ProxyPass / https://1.2.3.4/
ProxyPassReverse / https://1.2.3.4/
目标服务器上的虚拟主机:
ServerAdmin [email protected]
ServerName abc.domain.com
SSLEngine On
SSLCertificateFile /path/to/cert
SSLCertificateKeyFile /path/to/key
我的问题是验证。如果我将 SSLProxyVerify 设置为关闭,一切都会按预期工作。
我已经在旧服务器和新服务器上复制了证书——我显然必须这样做——所以 /path/to/cert 和两台服务器上的密钥会导致相同的数据。
浏览器显示 500,在我看到的原始服务器上的错误日志中:
AH02039: Certificate Verification: Error (20): unable to get local issuer certificate
我已经阅读了很多关于这个主题的内容,但我仍然对如何设置它感到困惑。
我相信我可能应该使用自签名证书和 CA 作为 origin->target 分支,但是应该如何配置呢?证书上的通用名称/主题替代项应该是什么?
任何帮助表示赞赏!谢谢!
我能够使用自签名 CA 和证书自行完成这项工作。
代理服务器必须具有指向生成的 CA 证书的 SSLProxyCACertificateFile。
远程服务器必须使用 SSLCertificateFile 的自签名链以及 SSLCertificateKeyFile 中客户端证书的密钥文件。
由于我在客户端证书上没有有效的公用名/SAN,代理服务器还必须禁用 SSLProxyCheckPeerName 和 SSLProxyCheckPeerCN,但保持 SSLProxyVerify 设置为要求。
此配置意味着最终用户 -> 代理服务器使用有效证书,而代理服务器 -> 远程服务器使用您的自签名证书。虽然我们不检查常用名称等,但代理服务器将只接受验证您的自签名 CA 的响应。
有助于诊断的事情:
将远程服务器上的 VirtualHost 移动到它自己的端口,这样我就可以直接访问它并验证它所服务的证书等。
增加代理服务器上 VirtualHost 的 LogLevel,我使用了 LogLevel ssl:debug,这足以显示日志中正在交换的证书。