리버스 프록시로 사용하기 위해 mod_proxy/mod_rewrite로 구성된 Ubuntu 14 LTS/Apache 2.4 서버가 있습니다. 백엔드의 서버 중 하나가 너무 오래되어 TLS를 지원할 수 없습니다. 클라이언트가 프런트엔드 프록시와 통신하기 위한 옵션으로 SSL을 비활성화하는 동시에 프록시가 백엔드에서 SSL을 사용하여 레거시 서버와 통신하도록 허용하고 싶습니다.
가능합니까?
답변1
해결책은 실제로 매우 간단합니다.
클라이언트가 역방향 프록시에 연결하는 방법에 대한 비밀번호/프로토콜 설정은 역방향 프록시가 백엔드 서버에 대한 연결을 협상하는 방법에 영향을 주지 않습니다.
즉, SSL을 비활성화하고 역방향 프록시의 암호를 강화할 수 있었지만 역방향 프록시는 여전히 더 약한 프로토콜을 사용하여 이전 백엔드 서버에 연결할 수 있었습니다.
호기심으로 인해 Apache 2.4.7을 실행하는 Ubuntu 14.04 LTS 서버의 /etc/apache2/mods-enabled/ssl.conf 파일에서 다음 설정을 사용하여 SSL을 비활성화하고 사용된 암호를 강화했습니다.
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5 :!의사결정지원시스템 SSL 명예 비밀번호 주문 SSL 프로토콜 전체-SSLv3 # 참고: 일부 웹사이트에서 제안하는 것처럼 -SSLv2를 추가하지 마세요(더 이상 지원되지 않음).