Обратный ssl-прокси Squid3 SQUID_X509_V_ERR_DOMAIN_MISMATCH ошибка

Question

Обратный ssl-прокси Squid3 SQUID_X509_V_ERR_DOMAIN_MISMATCH ошибка

У нас есть squid 3.3.4, работающий на Debian, действующий в качестве обратного прокси-сервера для двух веб-серверов apache с SSL-страницами. Трафик распределяется на основе полученного URL-адреса и направляется на тот или иной сервер.

acl acl_app urlpath_regex -i ^/app ^/store ^/admin
acl acl_old_app urlpath_regex -i ^/
acl valid_domain_acl dstdomain test.example.com

http_port 80 accel vhost
https_port 443 cert=/etc/ssl/private/example.com/current/example.com.bundle key=/etc/ssl/private/example.com/current/example.com.key  accel vhost cafile=/etc/ssl/private/example.com/current/example.com.ca-bundle

# new public site
cache_peer public.test parent 443 0 no-query no-digest originserver name=old_app ssl ssldomain=test.example.com login=PASS sslflags=DONT_VERIFY_PEER

# new app
cache_peer app.test parent 444 0 no-query no-digest originserver name=app forceddomain=test.example.com ssl ssldomain=test.example.com login=PASS sslflags=DONT_VERIFY_PEER

#these rules perform the following logic
#send /app traffic to app cache_peer
#send all other traffic to old_app cache_peer
cache_peer_access old_app deny acl_app
cache_peer_access old_app allow acl_old_app valid_domain_acl
cache_peer_access app allow acl_app valid_domain_acl
cache_peer_access app deny acl_old_app

Если мы добавим параметр sslflags=DONT_VERIFY_PEER, мы сможем получить доступ к страницам по мере необходимости, но если мы удалим параметр sslflags, мы получим ошибку SQUID_X509_V_ERR_DOMAIN_MISMATCH

Сертификат на squid и на веб-серверах идентичен, а имена доменов, к которым осуществляется доступ, совпадают с именами в сертификате.

Хотя сеть между squid и apache является частной сетью, мы обеспокоены снижением безопасности в сети путем эффективной настройки squid на игнорирование недействительных сертификатов.

Любой совет будет принят во внимание

URL-адреса, которыми я пользуюсь для доступа к сайту, - это https://www.example.com/ который должен перенаправлять на сервер по адресу public.test и https://www.example.com/app/ который должен перенаправлять на app.test.

1

apache ssl proxy squid

Источник

user4177661 24 окт '14 в 12:53

0 ответов

Другие вопросы по тегам apache ssl proxy squid