fragen stichworte

Squid Reverse Proxy mit mehreren SSL-Zertifikaten über SNI

Bietet der Proxy Server die Möglichkeit, ihm mehrere SSL-Zertifikate bereitzustellen?

Ich habe einen Server mit verschiedenen virtuellen Maschinen, auf denen Apache-Webserver für verschiedene Kunden ausgeführt werden. Als kostengünstige Alternative, um Kunden eine dedizierte IP-Adresse zu verkaufen, möchte ich ihnen zumindest eine Lösung mit auf der gemeinsam genutzten IP-Adresse des Server-Computers anbieten.

Nehmen wir also an, wir haben einen Server mit 4 Domänen: domain1a.com, domain1b.com, domain2a.com und domain2b.com. Domäne domaina1.com und domainb1.com werden von derselben Apache-Instanz innerhalb einer virtuellen Maschine gehostet, ebenso die anderen beiden Domänen. Jede virtuelle Maschine verfügt über eine NAT-übersetzte, lokale IPv4-IP-Adresse, an die die Anforderungen gesendet werden sollen.

Alle HTTP (S) -Anfragen werden zur Beschleunigung und gemeinsamen Nutzung der Server-IP durch einen Cache-Proxyserver geleitet. Daher sollte die Lösung SSL-Terminierung und SNI bieten.

Bereits im Jahr 2013 wurde in der Antwort auf diese Frage darauf hingewiesen, dass Squid nicht in der Lage ist, SNI einzusetzen. Seit Squid 3.5 wird jedoch SNI mit Peek-and-Splice unterstützt.

Soweit ich erfahren habe, sind die Optionen für Squid

  1. Verwenden Sie eine selbstsignierte Zertifizierungsstelle und dynamische Zertifikatsgenerierung oder
  2. Verwenden Sie ein Zertifikat mit mehreren SAN-Namen, in dem alle auf dem (physischen) Server gehosteten Domänen aufgeführt sind.

(1) funktioniert offensichtlich nicht, da wir auf jedem Computer eines Website-Besuchers kein selbstsigniertes CA-Zertifikat installieren können (zum Glück!).

(2) funktioniert für mich nicht, da dies sehr unflexibel wäre und jede Domäne anzeigen würde, die auf dem (physischen) Server-Computer gehostet wird.

Habe ich hier etwas verpasst? Kann ich Squid mit mehreren SSL-Zertifikaten für SNI versehen? Wenn das nicht möglich ist: Welche Alternativen würden zu meiner Situation passen?

Vielen Dank im Voraus!

antworten

Leider ist die Antwort immer noch nein. Der aktuelle Grund ist nur, dass die letzten Bits der notwendigen Installation noch nicht existieren. Alle benötigten Komponenten existieren in Squid-4 und werden für die TLS-Überwachung verwendet. Aber sie müssen immer noch auf eine Weise zusammengefügt werden, die für den Einsatz in Reverse-Proxy geeignet ist.