代理服务器上的 SSL 证书与源服务器上的 SSL 证书
SSL Cert on proxy vs SSL Cert on Origin Server
所以我正在设置一个从 Internet 上可见的反向代理。我将在反向代理上安装中间 CA 签名的 SSL 证书。反向代理将终止原始 SSL 连接,但会与原始服务器建立另一个 SSL 连接并转发应用程序流量。
如果我的域是 acme.com,那么我的反向代理上的 SSL 证书将有一个 cn: acme.com。我的源服务器将有一个自签名的 SSL 证书。我的问题是我是否应该在原始服务器上安装的 SSL 证书上使用相同的 cn: acme.com,即使最终用户不能直接访问它?在自签名源服务器上不使用 cn: acme.com 的优缺点是什么?
如果明确信任此特定证书(例如反向代理中的指纹)(即不要盲目信任所有内容),则内部服务器证书的主题无关紧要。但是信任特定证书意味着如果内部设置发生变化(即新证书),您还需要更改您信任的证书。如果您不能完全控制内部设置,这尤其是个问题。
如果您不使用自签名证书,而是使用内部 CA 颁发的证书,则扩展性会更好。在这种情况下,只要证书的主题与域匹配,就足以信任代理中的内部 CA。只要主题仍然与域匹配并且证书仍然由受信任的内部 CA 颁发,这就可以独立于代理设置更改内部证书。
所以我正在设置一个从 Internet 上可见的反向代理。我将在反向代理上安装中间 CA 签名的 SSL 证书。反向代理将终止原始 SSL 连接,但会与原始服务器建立另一个 SSL 连接并转发应用程序流量。
如果我的域是 acme.com,那么我的反向代理上的 SSL 证书将有一个 cn: acme.com。我的源服务器将有一个自签名的 SSL 证书。我的问题是我是否应该在原始服务器上安装的 SSL 证书上使用相同的 cn: acme.com,即使最终用户不能直接访问它?在自签名源服务器上不使用 cn: acme.com 的优缺点是什么?
如果明确信任此特定证书(例如反向代理中的指纹)(即不要盲目信任所有内容),则内部服务器证书的主题无关紧要。但是信任特定证书意味着如果内部设置发生变化(即新证书),您还需要更改您信任的证书。如果您不能完全控制内部设置,这尤其是个问题。
如果您不使用自签名证书,而是使用内部 CA 颁发的证书,则扩展性会更好。在这种情况下,只要证书的主题与域匹配,就足以信任代理中的内部 CA。只要主题仍然与域匹配并且证书仍然由受信任的内部 CA 颁发,这就可以独立于代理设置更改内部证书。