集中传出双向SSL连接
问题描述:
我们正在使用Apache来处理传入的SSL请求。这些是双向SSL连接。 Apache接受https连接并将请求作为http连接传递给应用程序服务器。这对我们很好。集中传出双向SSL连接
我们希望使用相同类型的集中式传出双向SSL连接机制。有没有办法与Apache或其他产品做到这一点?使客户端证书识别出客户端所需的东西复杂化可能因目标而异。
简而言之: - 内部客户端通过http连接到Apache或其他产品。 - Apache或其他产品基于规则(?)知道需要双向ssl连接,并将其设置为目的地。 - 根据目的地发送正确的证书以识别我们的客户。
问候,
Nidkil
答
你在说什么,或者进行过程中,HTTP代理服务器。在第一种情况下,您将它用作透明代理,为连接到一组网页提供SSL支持。在第二种情况下,您希望使用它来代表说出HTTP的客户端连接到仅安全页面。
如果您的机器位于客户端和Internet之间,您可以使用Squid代理(免费且开放源代码)执行此操作。寻找“SSLBump”。你确实需要一个客户认为有效的所有网页的证书(否则他们会注意到你在做什么,这基本上是一个中间人攻击)。
但是,我强烈建议不要这样 - 如果一个站点需要SSL,它可能会这样做是有原因的。这几乎肯定是不是好的,让内部客户端连接到在线银行网站,并让您减少加密,以便您可以监控他们的流量或任何...
Thx为快速响应。我们希望为webservices使用集中的传出two-ssl机制。这个想法是为了避免让每个客户理解双向ssl协议,并让证书通过组织传播。基本上我们正在使用可信区域,所以其他双方都同意他们的内部网络是可信区域,两个网络/区域之间的连接是不可信的,并且必须通过双向ssl连接来保护。 – nidkil 2011-02-16 14:06:23