我对apache 2.4的ssl配置有疑问。我为我的vhost获得了以下ssl设置。有超过1个目录,但配置大致相同,只有IP不同。如果我激活了三条注释行,那么apache应该根据证书检查请求,而不仅仅是通过请求,对吗?我假设apache破坏了来自互联网的所有请求的加密,并再次重新加密以传递请求。我对吗?有没有办法不破解加密,只是将证书检查委托给下一个系统?
RequestHeader set ClientProtocol HTTPS
SSLEngine On
SSLProtocol ALL -SSLv2 -SSLv3
SSLProxyEngine On
SSLProxyProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH
SSLCertificateFile /path/to/file.crt
SSLCertificateKeyFile /path/to/file.key
<Directory /folder-name>
#SSLVerifyClient optional_no_ca
#SSLVerifyDepth 1
#SSLOptions +OptRenegotiate +ExportCertData
ProxyPass https://10.20.30.40:8443/
ProxyPassReverse https://10.20.30.40:8443/
</Directory>
感谢您的帮助和问候。塞巴斯蒂安
答案 0 :(得分:0)
是的,这个充当代理的Apache终止了SSL。然后,它会向后端创建或重用池化SSL连接。
除非使用mod_proxy_connect模块将apache作为转发代理进行访问,否则没有办法真正让后端认为它与客户端握手。
某些应用程序服务器在专有标头中接受客户端证书的正文,从而使该标识在后端服务器中可用。但他们实际上并没有像握手那样在握手中验证它。