Como faço para configurar um Proxy de http para HTTPS (em outro servidor) eficientemente?

1. Como faço para configurar um Proxy de http para HTTPS (em outro servidor) eficientemente?

Mateus Michels de oliveira
MMichels

(usa CentOS)

Enviado em 21/09/2017 - 18:01h

Essa é a minha primeira postagem, e sim, tenho lido muitos outros tópicos antes dessa publicação, e eu tentei vários deles.

Meu cenário é o seguinte, eu tenho 2 servidores com apache na empresa, os pedidos da web chegam ao roteador e ele se desvia para o servidor 1 (Centos 6.5), o servidor 1 redireciona alguns links para o servidor 2 (centos 7). como a imagem:

https://imgur.com/GeEPTRf

Eu tenho um site com SSL instalado no servidor 2, e preciso configurar para solicitações da web para passar pelo servidor 1 e redirecionar para ele, mas não consigo.

Atualmente, minha configuração é a seguinte:

Servidor host virtual 1:

ServerName www.relici.org.br
ServerAlias ​​relici.org.br * .relici.org.br
SSLProxyEngine On
<Localização />
  ProxyPass https://www.relici.org.br/ # (proxy para servidor 2)
  ProxyPassReverse https://www.relici.org.br/
</ Localização>


Host virtual no servidor 2:

ServerName www.relici.org.br
DocumentRoot / home / www / sites / relici / 2_3
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/www.relici.org.br/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.relici.org.br/privkey.pem
SSLProxyEngine on
  <Diretório "/ home / www / sites / relici / 2_3">
     Opções FollowSymLinks Inclui
     AllowOverride None
     Permitir a todos
     Pedido permitir, negar
     Exigir tudo concedido
   </ Directory>


Com isso, eu posso acessar o site normalmente na minha rede interna, mas tenho os seguintes problemas:

1º - o Cadeado do SSL verde não aparece

2º - externamente (acessando via web) o site é deixado com Layout fora do padrão.

Gostaria de saber se existe alguma maneira de corrigir a configuração dos hosts virtuais para corrigir isso ou se seria possível corrigi-lo conectando o servidor diretamente à internet.


  


2. Re: Como faço para configurar um Proxy de http para HTTPS (em outro servidor) eficientemente?

Perfil removido
removido

(usa Nenhuma)

Enviado em 21/09/2017 - 18:39h

Você está tentando fazer SSL bridging com mod_proxy?! Tem que verificar essa possibilidade no manual. Nunca fiz dessa forma com apache.

Bem....

Adiciona o certificado no vhost do server1.



3. Re: Como faço para configurar um Proxy de http para HTTPS (em outro servidor) eficientemente?

Perfil removido
removido

(usa Nenhuma)

Enviado em 21/09/2017 - 18:53h

* Host 1
<VirtualHost *:80>
ServerName relici.org.br
ServerAlias www.relici.org.br
Redirect / https://www.relici.org.br/
</VirtualHost>

<VirtualHost *:443>
ServerName www.relici.org.br

ProxyRequests Off
ProxyPreserveHost On

ProxyPass https://www.relici.org.br/ # (proxy para servidor 2)
ProxyPassReverse https://www.relici.org.br/

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.relici.org.br/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.relici.org.br/privkey.pem

# modern configuration, tweak to your needs
SSLProtocol all -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLHonorCipherOrder on
SSLCompression off

# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off

# HSTS (mod_headers is required) (15768000 seconds = 6 months)
Header always set Strict-Transport-Security "max-age=15768000"
</VirtualHost>

# vim /etc/hosts
iphost2 www.relici.org.br 


* Host 2
<VirtualHost *:443>
ServerName www.relici.org.br
DocumentRoot /home/www/sites/relici/2_3

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.relici.org.br/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.relici.org.br/privkey.pem

<Directory "/home/www/sites/relici/2_3">
Options -Indexes
AllowOverride All
Require all granted
</Directory>

# modern configuration, tweak to your needs
SSLProtocol all -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLHonorCipherOrder on
SSLCompression off

# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off

# HSTS (mod_headers is required) (15768000 seconds = 6 months)
Header always set Strict-Transport-Security "max-age=15768000"
</VirtualHost>










Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts