Para mi VPS privado, estoy creando una configuración para diferentes aplicaciones web (Owncloud, ...) que depende de una combinación de diferentes contenedores de Docker. En la parte frontal, me gustaría usar un servicio web nginx como un proxy inverso que reenvíe las solicitudes HTTP entrantes en función del request-uri
a los servicios web "detrás".
Para crear una configuración de este tipo utilizando HTTPS, nginx necesita certificados de cliente para los llamados servicios ascendentes, que se encuentran detrás del proxy. Mi pregunta ahora es, desde un punto de vista de seguridad, si es necesario usar certificados firmados por una CA. Mi idea es que el propio proxy inverso nginx es accesible por un dominio que está protegido por un certificado de Let's Encrypt (u otro certificado firmado por una CA de confianza). Si ahora llamo a https://example.com/owncloud
, esto se reenvía al contenedor de aplicaciones para Owncloud que se encuentra en el mismo VPS. Nginx ahora necesita un certificado de cliente que me gustaría crear como autofirmado de acuerdo con el hecho de que es una comunicación interna en un solo sistema físico entre esos contenedores.
¿Podrían darme algunos consejos sobre la configuración y sobre mi perspectiva de seguridad sobre este tema? ¿Olvidé algunos puntos en mi concepción?