Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Проброс SSL-аутенти фикации на backend

To: nginx-ru@xxxxxxxxx
Subject: Re: Проброс SSL-аутенти фикации на backend
From: Pavel Labushev <p.labushev@xxxxxxxxx>
Date: Mon, 07 Sep 2009 18:43:42 +0800
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from :user-agent:mime-version:to:subject:references:in-reply-to :content-type:content-transfer-encoding; bh=FGlTLDqYfyNWNv0vaCaQ/OtHsltfZJuKTNnG6i5yW7E=; b=XGhP9ET6dXbx5/UWUsNm0cOLrK2w8vOnsE1bA0Ceh5yo9ZBfSpv7PH8EYQaG3T8pCg 7OKi6VbkC5dzuyt9xTlNE/N2cmbm3RSqKl20kWm+4bJDxgXdK6dYg1yUhEAHZoZd3Xfr p6of+QwOIwaMQKl0eBcSfLQjnMKgzm8pYUv1U=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; b=PzohzpufkfKD0iDM9kDT0uRfxy/dWCNJAvCL2mwsxE4CAD+w6KXqXsoJllQWgNOruF lg3rk6LMh6GX/G56pxayeNwySsZ+S6Uvs/vTLt0mm9T2QW5jaZmmEXr0s8QQzqhkiLeA zB5CZxoqAaR1d8x8cjl4Mpu6NpRYoQr7qK+YI=
In-reply-to: <d4574cb30909070014u371bec6fp55a67c760ca290af@xxxxxxxxxxxxxx>
References: <8f7d0ce10909050236g35674ccbp17b8e8b5dfc0cb24@xxxxxxxxxxxxxx> <20090905121732.GF12901@xxxxxxxxxxxxx> <20090905130627.GG12901@xxxxxxxxxxxxx> <8f7d0ce10909050908v401e8dfcobadb59e86b03eb85@xxxxxxxxxxxxxx> <2d8fb9950909050936n47cf0f1dre077b1918ddf0e78@xxxxxxxxxxxxxx> <8f7d0ce10909051157m2d277298j91ce072996a5c01b@xxxxxxxxxxxxxx> <4AA4AAA1.8040502@xxxxxxxxx> <d4574cb30909070014u371bec6fp55a67c760ca290af@xxxxxxxxxxxxxx>

Daniel Podolsky пишет:

>     Ваша задача решаема на более низких уровнях. Например, с помощью OpenVPN
>     и редиректа портов.
> 
>  Да банального порт-форвардера на фронт-енде достаточно.

Не всегда. Комбинация с OpenVPN хороша тем, что бэкенд становится
доступен избранным клиентам по тем же именам, адресам и портам, что и
HTTPS-клиентам фронтенда. Почти полная прозрачность, плюс авторизация на
фронтенде по уже выданным сертификатам.

А чтобы порт-форвардер работал прозрачно (и вообще работал), порт надо
форвардить на 443 на ближнем конце и связать в hosts адрес ближнего
конца с именем фронтенда, либо подкрутить DNS. Иначе клиент не примет
сертификат сервера, сервер получит от клиента неправильный Host (и
глюкнет SNI), а полные гиперссылки будут ссылаться на фронтенд.

References:
- Проброс SSL-аутентификации на backend
  - From: Бондарец Иван
- Re: Проброс SSL-аутент ификации на backend
  - From: Igor Sysoev
- Re: Проброс SSL-аутент ификации на backend
  - From: Igor Sysoev
- Re: Проброс SSL-аутентификации на backend
  - From: Бондарец Иван
- Re: Проброс SSL-аутентификации на backend
  - From: Sergey Shepelev
- Re: Проброс SSL-аутентификации на backend
  - From: Бондарец Иван
- Re: Проброс SSL-аутентифик ации на backend
  - From: Pavel Labushev
- Re: Проброс SSL-аутентификации на backend
  - From: Daniel Podolsky

Prev by Date: Re: worker_connections
Next by Date: Re: worker_connections
Previous by thread: Re: Проброс SSL-аутентификации на backend
Next by thread: Re: Проброс SSL-аутентификации на backend
Index(es):
- Date
- Thread