1
clanned 2015-04-01 15:28:45 +08:00
既然楼主这样问,就说明还没有配置好吧,给个配置链接做参考: http://serverfault.com/questions/583374/configure-nginx-as-reverse-proxy-with-upstream-ssl
1.安全。 比如要代理 https://www.example1.com 到 https://reverse.example2.org 反代出来的ssl是安全的,在配置reverse.example2.org时要配置example2.org的ssl证书,这样浏览器不会提示不安全。但是如果你是说从ip直接访问会提示不安全,不管是example2.org还是example1.com还是google.com都会出现不安全提示。如: This server could not prove that it is 173.194.72.104; its security certificate is from www.google.com 2.具体看你怎么操作。 域名不同,证书不会失效;即时域名相同,在不同证书服务商注册的域名应该也不会失效;同一个服务商如果允许重新注册,会失效吧。 3.没用过不知道 |
2
clanned 2015-04-01 15:30:13 +08:00 1
2.具体看你怎么操作。
域名不同,证书不会失效;即时域名相同,在不同证书服务商注册的域名 [证书] 应该也不会失效;同一个服务商如果允许重新注册 [证书] ,会失效吧。 |
3
ji1043 OP @xdtianyu 其实反代我是当作CDN来用,降低源战负载,CDN后IP不是与证书对不上了嘛。。。所以特有此疑问,那不管源战,直接补发反代站IP的证书了只能。。。多域名证书真的好贵好贵。。。还想着如果支持子域名,每个都买一个然后分别反代都便宜。。。
|
5
ji1043 OP @wzxjohn 那为何需要独立IP才能装ssl。。。服务器上生成的csr把。。。里面就包含了那些联系信息???
|
8
ji1043 OP @wzxjohn 。。。。。。。。你说的那种浏览器支持不友好吧!。。那意思就是证书可以传递??源战的证书可以直接拿到反代站用?只要都是ng的?。。。。。cf的cnd后支持直接获得源战的证书并展现源战证书吗,不要他家的证书。。。。
|
9
clanned 2015-04-01 16:13:20 +08:00
@ji1043
@wzxjohn @mgc 需要独立ip是大概因为有的客户端不支持SNI,这个还是很重要的。 http://en.wikipedia.org/wiki/Server_Name_Indication 比如你现在用的android里org.apache.http.client.HttpClient不支持,但是这个api用的还是很广的。服务器同一个ip绑定多个域名证书,如果客户端不支持SNI(请求时没有带hostname)而客户端验证证书的时候服务器返回缺省的证书(配置的第一个)就会出现证书错误的问题。 |
10
wzxjohn 2015-04-01 16:23:43 +08:00
@xdtianyu 你说的没错,但是我还是要说,“独立 IP 才能装 SSL”是完全错误的,很多人认为的“SSL 证书包含 IP 信息”也是错误的。没错 SNI 确实有些客户端不支持,不过大部分都是老旧 XP 系统。你说的这个 API 已经支持 SNI 了。https://issues.apache.org/jira/browse/HTTPCLIENT-1119
|
11
wzxjohn 2015-04-01 16:26:46 +08:00 1
@ji1043 除了 XP 都没有问题。然后似乎你对 SSL 真的是完全不了解。CDN 没有任何办法直接从源站获取证书并且传递给客户端,因为 CDN 没有你的私钥。但是你的意思似乎是自己搭建反代,这时候情况就不一样了。自己的服务器当然可以把私钥也放上去,没有任何问题。
顺便一说,目前的 CDN 实现 HTTPS 基本上都是通过多域名证书实现的,当然价格也不菲。除此之外基本上就是只能用 CDN 提供的域名实现 HTTPS ,比如七牛的服务。 |
12
clanned 2015-04-01 16:34:16 +08:00
@wzxjohn 233 我说的是"android里org.apache.http.client.HttpClient不支持", 我知道apache httpclient支持的,android在推java.net.HttpURLConnection,apache的那个根本就不更新了,但HttpClient用的人还是很多的
|
14
shakoon 2015-04-01 16:46:13 +08:00
借楼顺便问个略相关的问题,怎么把已经被墙的http访问用户跳转到https去,就像本站一样。我设置302跳转、url redirection貌似都没成功。
|