本地自签证书搭建的反向代理如何验证上游/后端服务器的证书或公钥?
比如用自签证书搭建反向代理访问中文的wikipedia
实测确实能直连, 但和普通的hosts方法不同, 这里没有办法像浏览器一样验证上游/后端服务器的证书或公钥, 对中间人攻击的防御力完全为0.
有什么办法能在反向代理中验证上游/后端服务器证书或公钥?
实测确实能直连, 但和普通的hosts方法不同, 这里没有办法像浏览器一样验证上游/后端服务器的证书或公钥, 对中间人攻击的防御力完全为0.
有什么办法能在反向代理中验证上游/后端服务器证书或公钥?
以下为nginx的方案,其他的不知道。
第一行制定上游服务器的域名,第二行关闭上游SNI,第三行指定证书,第四行指定“检查证书”,第五行设置检查上游证书的深度。
更多关于反向代理的选项,请自学。
... {
...
proxy_ssl_name <upstream domain>;
proxy_ssl_server_name off;
proxy_ssl_trusted_certificate <path_to_upstream.crt>;
proxy_ssl_verify on;
proxy_ssl_verify_depth 2;
...
}第一行制定上游服务器的域名,第二行关闭上游SNI,第三行指定证书,第四行指定“检查证书”,第五行设置检查上游证书的深度。
更多关于反向代理的选项,请自学。
自簽CA後,再用自簽CA簽二級證書,設定OS trust CA cert,然後反向代理證書設定為二級證書。
這樣的策略可行嗎?
這樣的策略可行嗎?
