Proxy inverso HTTP: forma correcta de hacer SSL para backend

6

Si tengo un proxy inverso HTTP que se comunica con sus backends en un centro de datos que no es de confianza, o entre centros de datos, me gustaría usar HTTPS en el backend, como se mencionó aquí:

Configuración segura de proxy inverso

¿Cómo se configurarían estos certificados SSL? Apenas puedo comprar e instalar un nuevo certificado cada vez que se modifica la dirección IP del servidor. Simplemente ignorar un nombre común no coincidente no parece muy seguro. ¿Configuré mi propia CA donde puedo generar certificados automáticamente? ¿Utilizaría el proxy algún tipo de corrección de certificado?

¿Cómo se hace esto generalmente? ¿Hay algún software listo para usar que pueda usar?

    
pregunta miracle2k 27.01.2014 - 10:15
fuente

1 respuesta

3

Primero, configura tu CN para que esté en el FQDN (que es lo que debería ser en primer lugar), por lo que no importa en qué dirección IP esté. En segundo lugar, podría usar certificados internos si lo desea, esa es una opción, sin embargo, esta debe ser extremadamente cerrada y segmentada.

Por lo general, lo que haría por algo así es una de las dos soluciones, dependiendo de lo que estaba a mi disposición:
 - Use certificados firmados internamente en el back-end, y en el proxy inverso, use 1 certificado comprado con el número correcto de "unidades" de servidores que está presentando. El bono aquí es que tiene claves separadas, por lo que si una está comprometida, no estará comprometida en todo el proceso. También tiene la posibilidad de escalonar las fechas de vencimiento, por lo que, si uno llega al vencimiento, puede retirarlo del grupo (mantener el tiempo de actividad de la aplicación) mientras actualiza todos los certificados. Asegúrese de que el proxy inverso tenga la última fecha de caducidad.
 - Obtenga una CA externa para firmar su certificado y copie el certificado / clave del proxy inverso a los servidores de back-end. Aquí tiene una clave en varios lugares, por lo que si está comprometida, estará comprometida en todo momento. Además, si el certificado caduca, caduca al mismo tiempo en todas partes, pero aún debe actualizarlo en todas partes cuando obtenga un nuevo certificado. Esto no siempre es legítimo, pero a VerSign no le importó. También hay diferentes costos dependiendo del usuario del servidor (Activo / Pasivo, Primario / DR, Activo / Activo, etc.), así que asegúrese de conversar con su CA.

    
respondido por el JZeolla 27.01.2014 - 15:57
fuente

Lea otras preguntas en las etiquetas