Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.
Доброго дня!
Внутри сети есть сервер к которому необходимо предоставить доступ из вне с использованием SSL, в роли proxy выступает lighttpd. Сертификат для сайта сгенерирован и находится на внутреннем сервере.
Настройка lighttpd:
Проблема в том, что соединения с внутренним сервером не происходит, броузер выдаёт Connection Timeout.
Пробовал добавить к конфигу $SERVER["socket"] == ":443" как внешний блок - без результата.
Будет ли работать данная схема или её необходимо переделывать? Если переделывать, то как?
Спасибо.
telepat mode: SSL настраивается на внешнем сервере(в данном случае -- lighttpd), а не внутреннем. В случае, если настраивать SSL нужно именно на внутреннем сервере, то стоит смотреть в сторону haproxy, IPVS, NAT -- иначе проксирование работать не будет.
Хотелось бы настроить SSL именно на внутреннем сервере, что бы внутри сети была также возможность его использовать.
Тут еще вот в чём неудобство, lighttpd также обслуживает пару виртульных хостов, а значит proxy повесить на 80 порт не получится. Вешать его на "левый" порт крайне нежелательно, так целевым ресурсом, тот что на внутреннем сервере, будет пользоваться большое начальство, в том числе с iPad, и объяснять ему, что для доступа надо набирать, например, https://site.company.ru:8443, вместо https://site.company.ru будет не очень удобно. Вернее, объяснить не проблема, но оно же, начальство, это сразу забудет и крики о недоступности сервиса гарантированы. Так что необходимо сделать всё максимально просто.
Да в общем-то нипричём. Возможно я сам себе придумываю сложности, но в перспективе Lighttpd может обслуживать виртуальный хост с поддержкой SSL, а если я сейчас повешу proxy на 443 порт для проброса на внутренний сервер, то Lighttpd уже не сможет использовать этот порт.
Или я не прав?
Да в общем-то нипричём. Возможно я сам себе придумываю сложности, но в перспективе Lighttpd может обслуживать виртуальный хост с поддержкой SSL, а если я сейчас повешу proxy на 443 порт для проброса на внутренний сервер, то Lighttpd уже не сможет использовать этот порт.
Или я не прав?
В общем случае, на одном IP может висеть ровно один SSL-сертификат.
В общем случае, на одном IP может висеть ровно один SSL-сертификат.
Насколько я разобрался это касается SSL, в случае использования GnuTLS каждый виртульный хост может иметь по сертификату и вроде у броузеров сейчас не наблюдается проблем с GnuTLS.
Теперь по поводу того, как работает proxy(lighttpd, nginx, apache): проксирующий сервер сначала считывает весь запрос от клиента и передаёт дальше уже по HTTP/1.0(фактически, это уже другой запрос). Соответственно, чтобы проксирующий сервер работал, нужно, чтобы у него был SSL-сертификат(для установления SSL-сессии и получения запроса). И в таком случае держать SSL на внутреннем сервере нет никакого смысла(и, возможно, проксирующий сервер даже не умеет ходить на бекенд по https).
Для обеспечения доступа приглядываюсь к LVS (http://www.linuxvirtualserver.org/), может быть есть отзывы по реальной эксплуатации?
Так как нагрузка будет смешная, то этот аспект меня не интересует. Больше интересует лёгкость и гибкость настроек и стабильность работы.
P.S. Сегодня имел возможность убедится в работе HTTPS с использованием GnuTLS. Firefox3.5 работает без проблем, собственно им и тестировал во время разработки. Сегодня пользователь подключался используя InternetExplorer8 из WindowsXP SP3, кроме предупреждения о невозможности проверить сертификат, ясное дело самоподписанный, замечаний нет. Так что пока оставлю работать так.
Для обеспечения доступа приглядываюсь к LVS (http://www.linuxvirtualserver.org/), может быть есть отзывы по реальной эксплуатации?
Так как нагрузка будет смешная, то этот аспект меня не интересует. Больше интересует лёгкость и гибкость настроек и стабильность работы.
Работает. Стабильно. Для текущей задачи -- скорее, из пушки по воробьям.
