集中传出的双向SSL连接
我们目前正在使用Apache来处理传入的SSL请求。这些是双向SSL连接。Apache接受https连接并将请求作为http连接传递到应用程序服务器。这对我们很有效 我们希望对传出的双向SSL连接使用相同的集中式机制。有没有办法用Apache或其他产品做到这一点?使事情复杂化的是,识别客户机所需的客户机证书可能因目的地而异 简言之: -内部客户端通过http连接到Apache或其他产品。 -Apache或其他产品根据一条规则知道需要双向ssl连接,并将其设置为目标。 -根据目的地,将发送正确的证书以识别我们的客户 问候,集中传出的双向SSL连接,ssl,connection,two-way,offloading,Ssl,Connection,Two Way,Offloading,我们目前正在使用Apache来处理传入的SSL请求。这些是双向SSL连接。Apache接受https连接并将请求作为http连接传递到应用程序服务器。这对我们很有效 我们希望对传出的双向SSL连接使用相同的集中式机制。有没有办法用Apache或其他产品做到这一点?使事情复杂化的是,识别客户机所需的客户机证书可能因目的地而异 简言之: -内部客户端通过http连接到Apache或其他产品。 -Apache或其他产品根据一条规则知道需要双向ssl连接,并将其设置为目标。 -根据目的地,将发送正确的证
Nidkil您所说的当然是HTTP代理服务器。在第一个场景中,您使用它作为透明代理,为连接到一组web页面提供SSL支持。在第二个场景中,您希望使用它提供连接,以仅代表使用HTTP的客户端保护页面 如果您的机器位于客户端和Internet之间,您可以使用免费的开源Squid代理来实现这一点。寻找SSLBump。你确实需要一个证书,客户认为它对所有的网页都是有效的,否则他们会注意到你在做什么,这基本上是中间人攻击。
然而,我强烈建议不要这样做——如果一个站点需要SSL,它很可能是有原因的。几乎可以肯定的是,让内部客户机连接到网上银行网站,让您下载他们的加密,以便您可以监控他们的流量或其他什么…您所说的当然是HTTP代理服务器。在第一个场景中,您使用它作为透明代理,为连接到一组web页面提供SSL支持。在第二个场景中,您希望使用它提供连接,以仅代表使用HTTP的客户端保护页面 如果您的机器位于客户端和Internet之间,您可以使用免费的开源Squid代理来实现这一点。寻找SSLBump。你确实需要一个证书,客户认为它对所有的网页都是有效的,否则他们会注意到你在做什么,这基本上是中间人攻击。
然而,我强烈建议不要这样做——如果一个站点需要SSL,它很可能是有原因的。几乎可以肯定的是,让内部客户连接到网上银行网站,让你下载他们的加密,这样你就可以监控他们的流量或其他什么…Thx以获得快速响应。我们希望为Web服务使用集中式传出两个ssl机制。这样做的目的是避免让每个客户机都理解双向ssl协议,并避免证书在整个组织中传播。基本上,我们使用的是受信任的区域,因此其他双方同意他们的内部网络是受信任的区域,两个网络/区域之间的连接不受信任,必须通过双向ssl连接进行保护。@nikdil:你一直在说双向ssl。您知道SSL支持客户机提供自己的证书,对吗?H.是的,我们目前有许多客户机自己实现此功能。我们不希望客户端单独设置双向ssl连接,因为这意味着我们需要在组织之外分发证书。我们想集中处理这个问题。这就是为什么我试图从一个角度找到如何做到这一点。你把我指给乌贼和苏打水。我检查了它,看不出它是否能够进行双向ssl连接。你知道这是否可行吗?@nidkil:是的。它可以。Squid可以为快速响应提供客户端SSL证书.Thx。我们希望为Web服务使用集中式传出两个ssl机制。这样做的目的是避免让每个客户机都理解双向ssl协议,并避免证书在整个组织中传播。基本上,我们使用的是受信任的区域,因此其他双方同意他们的内部网络是受信任的区域,两个网络/区域之间的连接不受信任,必须通过双向ssl连接进行保护。@nikdil:你一直在说双向ssl。您知道SSL支持客户机提供自己的证书,对吗?H.是的,我们目前有许多客户机自己实现此功能。我们不希望客户端单独设置双向ssl连接,因为这意味着我们需要在组织之外分发证书。我们想集中处理这个问题。这就是为什么我试图从一个角度找到如何做到这一点。你把我指给乌贼和苏打水。我查过了
并且无法查看是否能够进行双向ssl连接。你知道这是否可行吗?@nidkil:是的。它可以。Squid可以提供客户端SSL证书。