私たちは、アプリケーションサーバーのコレクションに対するリバースプロキシとしてApacheを使用したいと考えています。 ApacheインスタンスにCA署名付きSSL証明書を発行する予定ですが、アプリケーションサーバーインスタンスで自己署名証明書を使用したい(Apacheとアプリケーションサーバー間の接続も暗号化されるように)。私たちがする必要がなければ、CA署名付きSSL証明書をアプリケーションサーバーインスタンスにインストールしたくない。自己署名証明書はApacheリバースプロキシの背後で動作しますか?
Apacheは、アプリケーションサーバーインスタンスで自己署名証明書を持つこの構成を許可しますか?
大量のアプリケーションサーバーがある場合は、自己署名入りの証明書を1つずつ管理するのではなく、自分の内部CAを持つ方が理にかなっています。
HTTPSを使用するようにApacheからhttpdリバースプロキシとそのワーカーノード間の接続にしたい場合は、あなたがmod_sslのSSLProxy*ディレクティブを使用してApacheからhttpdによって信頼された証明書を設定することができます(mod_proxyドキュメンテーションの導入に記載されているように)特にSSLProxyCACertificateFileである。
SSL/TLSでAJP接続が行われないため、mod_proxy_httpを使用する必要があります。
これは質問に答えません。 Apacheはプロキシサーバーで自己署名証明書を許可していますか?さて、テストのセットアップから、私はそれがうまくいくように思えます。これについて正式な確認があったなら、それはいいだろう。私のテストでは、プロキシの周囲のWebブラウザをプロキシサーバーに直接移動すると、自己署名証明書を受け入れるように求められますので、Apache経由でプロキシされるとは思われませんでした。 Apacheのキーストア/トラストストアを更新して、自己署名証明書を含める必要があると思っていましたが、それをする必要はありませんでした。 – Ryan
@Ryan、なぜこの質問に答えないのですか? 'SSLProxy *'指令は必要なもので、文書化されています。 SSLProxyCheckPeerCNのデフォルト値もApache Httpd 2.2と2.4の間で変更されました。デフォルトでは 'none'です(' require'が必要です)。 – Bruno
答えは当初私には分かりませんでした。 mod_sslとmod_proxyのドキュメントを読んだら、あなたの答えはもっと意味があります。 SSLProxyVerifyとCheckPeerCNのデフォルト値は、Apacheが自己署名証明書を信頼するように指示する必要がなく、なぜ「うまくいく」のかを説明しています。 SSLProxyCA *ディレクティブを理解して、Apacheに自己署名証明書を信頼させる必要があるようです – Ryan
これはおそらく役立ちます:[SSLProxyCheckPeerCN](http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslproxycheckpeercn)? – noodl