一个相当基本的 SSL 问题,如果您不介意的话:
假设我有从客户端到 Web 服务器的流量,如下所示:
[client] --> [public SLB:80] --> [reverse proxy:80] --> [internal SLB:80] --> [webserver:443]
穿越此拓扑的部分流量是否未加密,或者当请求最终到达 Web 服务器时 SSL 握手会成功吗?
我正在尝试确定是否需要在链中的每个设备上安装 SSL 证书。
跨多个代理和 SLB 的 SSL 握手
网络工程
网络
2022-02-11 04:44:51
1个回答
这完全取决于您的 SLB 和代理配置,这些元素中的每一个都可以解密 SSL 与否。
这些中间元素都不需要 SSL 解密/终止来进行基本操作。出于安全或优化负载平衡的原因,所有这些元素都可以用于深度数据包检查。
假设节点末端的 :80 端口表示这些都是 HTTP LB/代理,并且假设这些元素允许HTTP Connect 隧道,客户端将要求 HTTP 代理将 TCP 连接转发到所需的目的地。客户端将通过该 TCP“隧道”与网络服务器建立直接 SSL 会话,因此您不需要中间节点上的 SSL 证书。