1. дома
  2. Вопрос и ответ
  3. Перенаправление SSL из Apache в Wildfly

Перенаправление SSL из Apache в Wildfly

2016-01-13 3 views
3

У меня есть два проекта, работающих на Wildfly-8, и у меня есть два сертификата SSL для каждого из них и один IP-адрес.Перенаправление SSL из Apache в Wildfly

Я понял, что должен иметь один IP-адрес для одного сертификата SSL.

Но мне нужно было использовать эти два SSL для одного IP-адреса. Я не мог найти способ сделать это с Wildfly, но был способ сделать это с Apache Server. Итак, я установил Apache Server до Wildfly.

Я слушаю порт https (443) на Apache и перенаправляю его на Wildfly's http порт (я использовал 8080). Он работает без проблем.

Что мне интересно;

1. Is Apache decrypt request and redirect it to Wildfly? 
2. Is it correct way to do it or I have done it by chance? 
3. Does this method create a security hole?

Я искал некоторые из них, но не смог найти удовлетворенных ответов.

Спасибо за ответы.

источник

2016-01-13 xxlali

ответ

6

Для этого ответа я предполагаю, что путем «перенаправления» вы подразумеваете «проксирование»: Apache получает запрос, проксирует его на Wildfly, получает ответ от Wildfly, отправляет ответ клиенту.

Если вы имеете в виду что-то еще, тогда простой ответ: это неправильно [1].

  1. ли Apache расшифровать запрос и перенаправить его на Wildfly?

Да. Apache будет получать и отправлять защищенные данные в/из клиента. Его сообщение с Wildfly будет открытым текстом.

  1. Правильно ли это сделать, или я сделал это случайно?

Это как обычно делается, да. Другими словами: балансировщик нагрузки и/или прокси-сервер перед Wildfly (Apache в вашем случае). Сам Wildfly не достигается непосредственно общественным интернетом.

  1. Этот метод создает дыру в безопасности?

Это так же, как и все остальное - это «компромисс» безопасности. В этом случае вы доверяете своей внутренней сети во имя более практичной/управляемой архитектуры. Если вы не доверяете своей внутренней сети, вы должны искать другое решение. В общем случае цена для оплаты кажется мне справедливой, так как вы «только» будете открыты для человека в середине между вашим Apache и вашей Wildfly. Итак, если вы доверяете своей внутренней сети, вы должны верить, что там не будет MITM.

Редактировать

[1] - Как и все остальное в жизни, нет абсолютной истины. В принципе, есть три метода, которые можно использовать в сценарии, подобном этому: прохождение, перекрестное и повторное шифрование.

  • Проход через «тупую» трубу, в которой ничего про TLS не известно прокси. Затем Wildfly обрабатывала безопасную связь с клиентом. Я не уверен, что Apache сделает это, но это можно сделать с помощью haproxy в режиме TCP;
  • Edge (или разгрузка) - это ситуация, описанная выше: Клиент говорит TLS с Apache, Apache говорит об открытом тексте с Wildfly;
  • Повторное шифрование, которое похоже на Edge, но связь между Apache и Wildfly также является TLS, используя другой сертификат.

источник

2016-01-14 10:44:50 jpkrohling

+0

Большое спасибо за ваш комментарий – xxlali

+0

@jpkrohling Что делать, если MITM - это возможность? В случае с виртуальным сервером где-то я должен доверять доброй воле хостинговой компании. Будет ли это закрывать эту проблему MITM, если Wildfly делает часть HTTPS, и Apache просто проксирует ее из интернет-порта 443 до Wildfly? Защита Wildfly: https://docs.jboss.org/author/pages/viewpage.action?pageId=66322705 – Socrates

+0

@Socrates, если вы обслуживаете порт 443 от Wildfly, у вас есть сертификат SSL для Wildfly. И если у вас есть 2 ssl и один IP, вы не можете сделать это на Wildfly. Если у вас есть один IP-адрес и один SSL, вы можете использовать Wildfly, и вам не нужен Apache – xxlali

Последний вопрос

 Смежные вопросы

  • Нет связанных вопросов^_^