从Apache到Wildfly的SSL重定向

我有两个项目在Wildfly-8上运行，每个项目有两个SSL证书和一个IP

我想我应该有一个IP对一个SSL证书

但我需要将这两个SSL用于一个IP。我找不到一种使用Wildfly的方法，但有一种使用Apache服务器的方法。所以，我在Wildfly上安装了Apache服务器

我在Apache上侦听https端口（443），并将其重定向到Wildfly的http端口（我使用了8080）。它毫无问题地工作

我想知道的是

1. Is Apache decrypt request and redirect it to Wildfly?
2. Is it correct way to do it or I have done it by chance?
3. Does this method create a security hole?

我在谷歌上搜索了一些，但找不到满意的答案

---

感谢您的回复。

对于这个答案，我假设“重定向”是指“代理”：Apache接收请求，将其代理给Wildfly，从Wildfly接收答案，将答案发送给客户端

如果你的意思是别的，那么简单的答案是：这是错误的[1]

是Apache解密请求并将其重定向到Wildfly吗

对。Apache将向客户端接收和发送安全数据。它与Wildfly的通信将是纯文本的

这是正确的方法还是我偶然做的

通常就是这样做的，是的。换句话说：一个负载平衡器和/或Wildfly前面的代理（在您的例子中是Apache）。公共互联网无法直接访问Wildfly本身

此方法是否会创建安全漏洞

它确实如此，就像其他一切都是安全“妥协”。在这种情况下，您以更实用/可管理的体系结构的名义信任您的内部网络。如果您不信任您的内部网络，您应该寻找其他解决方案。在一般情况下，支付的价格对我来说似乎是公平的，因为你将“只”对一个介于Apache和Wildfly之间的人开放。所以，如果你信任你的内部网络，你应该相信那里不会有任何MITM

编辑

[1] -就像生活中的一切一样，没有绝对的真理。基本上，有3种技术可以在这样的场景中使用：通过、边缘和重新加密

• Pass-through是一个“dumb”管道，代理对TLS一无所知。然后，Wildfly将处理与客户端的安全通信。我不确定Apache是否会这样做，但这可以通过TCP模式下的

  haproxy

  来实现
• Edge（或卸载）是我上面描述的情况：客户端与Apache谈论TLS，Apache与Wildfly谈论明文
• 重新加密，与Edge类似，但Apache和Wildfly之间的通信也是TLS，使用不同的证书

---

非常感谢您的支持comment@jpkrohling如果MITM是可能的呢？就某个地方的虚拟服务器而言，我必须相信托管公司的善意。如果Wildfly执行HTTPS部分，而Apache只是将其从internet端口443代理到Wildfly，它会解决这个MITM问题吗？保护Wildfly：@Socrates如果你在Wildfly的443端口服务，你应该拥有Wildfly的SSL证书。如果你有两个ssl和一个IP，你不能在Wildfly上完成。如果您有一个IP和一个SSL，那么您可以使用Wildfly，而不需要Apache@Socrates，是的，但是，您可能不需要Apache。Wildfly的HTTP服务器（Undertow）非常能够处理正常的工作负载，因此，您可以从图片中删除Apache。一切取决于您的威胁模型和自动化级别：）如果您可能会失去对证书密钥的控制，那么拥有单个证书当然更好。它们更容易（也更便宜）请求，并且可以单独撤销，但是证书越多，您就越希望自动化部署。