集中传出双向 SSL 连接

Question

我们目前正在使用 Apache 来处理传入的 SSL 请求。这些是双向 SSL 连接。 Apache 接受 https 连接并将请求作为 http 连接传递到应用程序服务器。这对我们来说效果很好。

我们希望对传出双向 SSL 连接使用相同类型的集中式机制。有没有办法用 Apache 或其他产品来做到这一点？让事情变得复杂的是，识别客户端所需的客户端证书可能会因目的地而异。

简而言之： - 内部客户端通过 http 连接到 Apache 或其他产品。 - Apache 或其他产品根据规则 (?) 知道需要双向 ssl 连接，并与目标进行设置。 - 根据目的地，发送正确的证书来识别我们的客户。

问候，

尼德基尔

Answer 1

你所说的当然是 HTTP 代理服务器。在第一个场景中，您将其用作透明代理，为一组网页的连接提供 SSL 支持。在第二种情况下，您希望使用它代表使用 HTTP 的客户端提供与仅安全页面的连接。

您可以使用免费且开源的 Squid 代理来完成此操作，前提是您的计算机位于客户端和 Internet 之间。寻找“SSLBump”。您确实需要一个客户端认为对要访问的所有网页有效的证书（否则他们会注意到您在做什么，这基本上是中间人攻击）。

然而，我强烈建议不要这样做——如果一个网站需要 SSL，那么它这样做很可能是有原因的。让内部客户连接到网上银行网站并让您降低其加密以便您可以监控其流量或其他任何内容，几乎可以肯定不可以......