集中傳出雙向SSL連接

Question

我們正在使用Apache來處理傳入的SSL請求。這些是雙向SSL連接。 Apache接受https連接並將請求作爲http連接傳遞給應用程序服務器。這對我們很好。

我們希望使用相同類型的集中式傳出雙向SSL連接機制。有沒有辦法與Apache或其他產品做到這一點？使客戶端證書識別出客戶端所需的東西複雜化可能因目標而異。

簡而言之： - 內部客戶端通過http連接到Apache或其他產品。 - Apache或其他產品基於規則（？）知道需要雙向ssl連接，並將其設置爲目的地。 - 根據目的地發送正確的證書以識別我們的客戶。

問候，

Nidkil

Answer 1

你在說什麼，或者進行過程中，HTTP代理服務器。在第一種情況下，您將它用作透明代理，爲連接到一組網頁提供SSL支持。在第二種情況下，您希望使用它來代表說出HTTP的客戶端連接到僅安全頁面。

如果您的機器位於客戶端和Internet之間，您可以使用Squid代理（免費且開放源代碼）執行此操作。尋找「SSLBump」。你確實需要一個客戶認爲有效的所有網頁的證書（否則他們會注意到你在做什麼，這基本上是一箇中間人攻擊）。

但是，我強烈建議不要這樣 - 如果一個站點需要SSL，它可能會這樣做是有原因的。這幾乎肯定是不是好的，讓內部客戶端連接到在線銀行網站，並讓您減少加密，以便您可以監控他們的流量或任何...