Como faço para configurar um Proxy de http para HTTPS (em outro servidor) eficientemente?

1. Como faço para configurar um Proxy de http para HTTPS (em outro servidor) eficientemente?

MMichels
(usa CentOS)

Enviado em 21/09/2017 - 18:01h

Essa é a minha primeira postagem, e sim, tenho lido muitos outros tópicos antes dessa publicação, e eu tentei vários deles.

Meu cenário é o seguinte, eu tenho 2 servidores com apache na empresa, os pedidos da web chegam ao roteador e ele se desvia para o servidor 1 (Centos 6.5), o servidor 1 redireciona alguns links para o servidor 2 (centos 7). como a imagem:

https://imgur.com/GeEPTRf

Eu tenho um site com SSL instalado no servidor 2, e preciso configurar para solicitações da web para passar pelo servidor 1 e redirecionar para ele, mas não consigo.

Atualmente, minha configuração é a seguinte:

Servidor host virtual 1:



ServerName www.relici.org.br

ServerAlias &#8203;&#8203;relici.org.br * .relici.org.br

SSLProxyEngine On

<Localização />

  ProxyPass https://www.relici.org.br/ # (proxy para servidor 2)

  ProxyPassReverse https://www.relici.org.br/

</ Localização>

Host virtual no servidor 2:

ServerName www.relici.org.br

DocumentRoot / home / www / sites / relici / 2_3

SSLEngine On

SSLCertificateFile /etc/letsencrypt/live/www.relici.org.br/fullchain.pem

SSLCertificateKeyFile /etc/letsencrypt/live/www.relici.org.br/privkey.pem

SSLProxyEngine on

  <Diretório "/ home / www / sites / relici / 2_3">

     Opções FollowSymLinks Inclui

     AllowOverride None

     Permitir a todos

     Pedido permitir, negar

     Exigir tudo concedido

   </ Directory>

Com isso, eu posso acessar o site normalmente na minha rede interna, mas tenho os seguintes problemas:

1º - o Cadeado do SSL verde não aparece

2º - externamente (acessando via web) o site é deixado com Layout fora do padrão.

Gostaria de saber se existe alguma maneira de corrigir a configuração dos hosts virtuais para corrigir isso ou se seria possível corrigi-lo conectando o servidor diretamente à internet.

0 0

Quote

2. Re: Como faço para configurar um Proxy de http para HTTPS (em outro servidor) eficientemente?

removido
(usa Nenhuma)

Enviado em 21/09/2017 - 18:39h

Você está tentando fazer SSL bridging com mod_proxy?! Tem que verificar essa possibilidade no manual. Nunca fiz dessa forma com apache.

Bem....

Adiciona o certificado no vhost do server1.

1 0

Quote

3. Re: Como faço para configurar um Proxy de http para HTTPS (em outro servidor) eficientemente?

removido
(usa Nenhuma)

Enviado em 21/09/2017 - 18:53h

* Host 1

<VirtualHost *:80>

    ServerName relici.org.br

    ServerAlias www.relici.org.br

    Redirect / https://www.relici.org.br/

</VirtualHost>

<VirtualHost *:443>

        ServerName www.relici.org.br



ProxyRequests     Off

ProxyPreserveHost On



ProxyPass https://www.relici.org.br/ # (proxy para servidor 2)

ProxyPassReverse https://www.relici.org.br/



        SSLEngine on

        SSLCertificateFile /etc/letsencrypt/live/www.relici.org.br/fullchain.pem

        SSLCertificateKeyFile /etc/letsencrypt/live/www.relici.org.br/privkey.pem



# modern configuration, tweak to your needs

        SSLProtocol             all -SSLv3 -TLSv1

        SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

        SSLHonorCipherOrder     on

        SSLCompression          off



# OCSP Stapling, only in httpd 2.3.3 and later

        SSLUseStapling          on

        SSLStaplingResponderTimeout 5

        SSLStaplingReturnResponderErrors off



# HSTS (mod_headers is required) (15768000 seconds = 6 months)

        Header always set Strict-Transport-Security "max-age=15768000"

</VirtualHost>

# vim /etc/hosts

iphost2 www.relici.org.br

* Host 2

<VirtualHost *:443>

        ServerName www.relici.org.br

        DocumentRoot /home/www/sites/relici/2_3 



        SSLEngine on

        SSLCertificateFile /etc/letsencrypt/live/www.relici.org.br/fullchain.pem

        SSLCertificateKeyFile /etc/letsencrypt/live/www.relici.org.br/privkey.pem



        <Directory "/home/www/sites/relici/2_3">

            Options -Indexes

            AllowOverride All

            Require all granted

        </Directory>



# modern configuration, tweak to your needs

        SSLProtocol             all -SSLv3 -TLSv1

        SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

        SSLHonorCipherOrder     on

        SSLCompression          off



# OCSP Stapling, only in httpd 2.3.3 and later

        SSLUseStapling          on

        SSLStaplingResponderTimeout 5

        SSLStaplingReturnResponderErrors off



# HSTS (mod_headers is required) (15768000 seconds = 6 months)

        Header always set Strict-Transport-Security "max-age=15768000"

</VirtualHost>