Я хотел бы обслуживать один и тот же веб-сайт с разными сертификатами TLS для разных диапазонов исходных IP-адресов. Например, в одном блоке я ожидаю, что пользователи подключатся к браузерам, в которых локальный CA компании установлен в корневом доверенном хранилище клиента. В другом блоке будет другая группа пользователей, у которых нет этого локального ЦС, поэтому я хотел бы представить самоподписанный сертификат или сертификат, подписанный ЦС их компании. Еще одним блоком будет соединение M2M, где все, что нужно, - это простой самоподписанный сертификат.

Я читал об использовании ssl_multicert.config в Apache Traffic Server или об использовании индикации имени сервера (SNI), но все они имеют дело с целевым IP (сервером), а не с исходным IP (клиентом).

Я знаю, что могу запустить Apache на отдельном порту для каждого сертификата, а затем поиграть с целью перехода REDIRECT в iptables. Я ищу чистый способ сделать это, используя только параметры конфигурации Apache (2.4). Кто-нибудь знает?

1 ответ1

2

Если вы используете веб-сервер с поддержкой SNI, то вы можете реализовать следующую логику на том же веб-сервере, используя один IP-адрес для HTTP-сервера с различными сертификатами SSL для каждой группы пользователей в зависимости от их IP-адреса.

Пользователи будут перенаправлены на определенный веб-сервер на основе их IP-адреса с помощью HAproxy

HAproxy2apache

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .