Cifrado de extremo a extremo con un proxy inverso y un servidor de aplicaciones

2

Digamos que tengo un proxy inverso nginx que envía el tráfico a un Tomcat en el mismo servidor. Creo que la forma más común de configurar esta configuración es habilitar SSL en nginx y luego enviar el tráfico sin cifrar a Tomcat. Hasta ahora tan bueno. El tráfico comienza a crecer y decido mover el tomcat a un servidor diferente por motivos relacionados con el rendimiento. Ahora la conexión entre el nginx y el Tomcat no es segura (http).

¿Cómo debo prepararme para este problema de seguridad? ¿Debo canalizar el tráfico a través de un túnel SSH desde el servidor nginx al Tomcat? Mis servidores podrían ubicarse en un servicio en la nube, por lo que la conexión entre ellos no es segura (que yo sepa).

    
pregunta anssias 05.03.2015 - 09:43
fuente

1 respuesta

2

Lo que quieres es " Upstream SSL ".

Esto es cuando vuelve a cifrar la conexión de back-end con Nginx. No necesitas comprar otro certificado. Puede utilizar certificados autofirmados para el backend.

Se analiza aquí: StackOverflow: equilibrio de carga Nginx con SSL ascendente
y aquí: ServerFault: configure Nginx como proxy inverso con SSL ascendente

Blog aquí: " Descarga de SSL, cifrado y certificados con NGINX (Archivado aquí .)
Insisten en llamar a este cifrado de "extremo a extremo" en su blog. (Me enloquece que hagan eso. Si vuelves a cifrar, ya no estarás encriptando de extremo a extremo.)
(Pero Citrix es culpable de lo mismo terminología sin con su" NetScaler " loadbalancer. (Archivado aquí .))

    
respondido por el StackzOfZtuff 05.03.2015 - 10:16
fuente

Lea otras preguntas en las etiquetas