Централизация исходящих двусторонних SSL-соединений

Question

В настоящее время мы используем Apache для обработки входящих запросов SSL. Это двусторонние SSL-соединения. Apache принимает соединение https и передает запрос как соединение http серверу приложений. Это хорошо работает для нас.

Мы хотели бы использовать тот же тип централизованного механизма для исходящих двусторонних соединений SSL. Есть ли способ сделать это с Apache или другим продуктом? Чтобы усложнить работу, клиентский сертификат, необходимый для идентификации клиента, может отличаться в зависимости от пункта назначения.

Короче говоря: - Внутренние клиенты подключаются через http к Apache или другому продукту. - Apache или другой продукт, основываясь на правиле (?), Знает, что требуется двустороннее ssl-соединение, и устанавливает его в соответствии с пунктом назначения. - В зависимости от пункта назначения отправляется правильный сертификат для идентификации нашего клиента.

С уважением,

Nidkil

Answer 1

То, о чем вы говорите, это, конечно, прокси-сервер HTTP. В первом сценарии вы используете его в качестве прозрачного прокси для обеспечения поддержки SSL для соединений с набором веб-страниц. Во втором сценарии вы хотите использовать его для подключения к защищенным страницам от имени клиентов, говорящих по HTTP.

Это можно сделать с помощью прокси-сервера Squid, который является бесплатным и с открытым исходным кодом, при условии, что ваша машина находится между клиентами и Интернетом. Ищите «SSLBump». Вам действительно нужен сертификат, который клиенты посчитали бы действительным для всех веб-страниц, к которым необходимо получить доступ (в противном случае они заметят, что вы делаете, что по сути является атакой «человек посередине»). *

Однако я настоятельно рекомендую против этого - если сайт требует SSL, он, вероятно, сделает это по причине. Почти наверняка не Нормально иметь внутренних клиентов, подключающихся к сайту онлайн-банкинга и позволяющих вам уменьшить их шифрование, чтобы вы могли отслеживать их трафик или что-то еще ...