因此,我正在设置一个反向代理,该代理将从Internet上可见。我将在反向代理服务器上安装中间CA签名的SSL证书。反向代理将终止原始SSL连接,但将通过原始代理服务器与原始服务器建立另一个SSL连接,并转发应用程序流量。
如果我的域是acme.com,那么我的反向代理上的SSL证书将有一个cn: acme.com。我的原始服务器将具有一个自签名的SSL证书。我的问题是,即使最终用户无法直接访问原始服务器上安装的SSL证书,我也应该使用相同的cn: acme.com吗?在自签名原始服务器上不使用cn: acme.com的利弊是什么?
答案 0 :(得分:1)
内部服务器证书的主题与是否明确信任特定证书无关,例如通过反向代理中的指纹(即,不要盲目地信任所有内容)。但是,信任特定证书意味着如果内部设置发生更改,您还需要更改信任的证书(即新证书)。如果您不完全控制内部设置,这可能是一个特别的问题。
如果您不使用自签名证书,而是使用内部CA颁发的证书,它将更好地扩展。在这种情况下,只要证书的主题与域匹配,就可以信任代理中的内部CA。只要主题仍然与域匹配并且证书仍由受信任的内部CA颁发,就可以独立于代理设置独立更改内部证书。