我想在两台服务器之间建立 SSL 连接,我知道我需要将服务器 A 的 SSL 证书安装到服务器 B 的 Java 密钥库中,反之亦然。因此,服务器 A 可以调用服务器 B 的 HTTPS URL,反之亦然。
但以下是我找不到答案的问题:
- 如果服务器 A 想要调用服务器 B 的 HTTPS URL,那么是否需要安装服务器 B 的 SSL 证书,或者如果服务器 B 的证书的签名 CA 证书存在于我的 Java 密钥库中,那么不需要安装服务器 B 的证书?我认为最后会检查签名 CA 的证书是否存在于我的密钥库中,那么一切都很好。
- 我有这样的基础结构配置 - LB -> Apache -> WL。现在,假设 SSL 终止发生在 Apache,然后 Apache 反向代理到 Weblogic,现在它正在调用 WL 的 HTTPS URL。我知道我可以使用 SSLCertificateFile 指令指定 Apache 的 SSL 证书,但是 WL 的 SSL 证书将如何在 Apache 端进行验证,因为 Apache 没有像 Java 密钥库这样的密钥库。
如果服务器 A 调用服务器 B,那么服务器 B 的证书应该是
我假设我们谈论的是您自己的机器之间的通信,而不是您无法控制的客户端浏览器。
如果您有数百台机器,您可能会发现使用中间证书的一些优势,如果不只是将您自己的 CA 证书分发到您的密钥库。这使您无需修改所有客户端上的密钥库即可更改证书。
至于您的第二个问题,如果您真的想在反向代理和 WL 后端之间使用 ssl,请查看Apache ProxyPassReverse 和 https的一般语法和https://httpd.apache.org/docs/current/mod/ mod_ssl.html#SSLProxyCACertificateFile用于指定代理将从其上游考虑的 CA。