Apache – Virtual Hosting Mass Client SSL configurable, Reverse Proxy

Mon scénario est que nous hébergeons plusieurs sites Web pour les clients et tous les sites clients s'exécutent uniquement sur SSL.

Actuellement, nous avons un file d'hôte virtuel séparé pour chaque client pour Apache. Chaque file est à peu près le même que le nom / l'alias du server et la partie de configuration ssl. Le rest de la configuration est à peu près juste quelques déclarations de proxy inverse pour indiquer à apache de terminer le ssl puis de passer le trafic vers le back-in-IIS (site .net). Remarque: tous les sites sont exécutés sur la même IP, donc SNI est utilisé et semble fonctionner bien (aucune complique n'est encore ce qui est bon).

L'autre fonction principale que nous avons, c'est que le client est capable de se connecter à son «portail client» (notre site Web) et de générer une CSR pour aller à un tiers pour le signer et nous renvoyer le cert. Lorsqu'ils génèrent le CSR, nous gardons les keys privées sur le server.

Le problème est que:

1) Le fait d'avoir un file d'hôte virtuel séparé pour chaque client est difficile à maintenir étant donné que la plupart du file est le même entre eux. (Les limites du descripteur de file sont en train de devenir un problème)

2) Le client peut changer son ssl à tout moment. C'est-à-dire qu'ils ont seulement 2 mois sur le cert et veulent donc se connecter à leur count et get une nouvelle RSE et changer leurs cercles ssl en 2 mois. Le problème est que je dois faire un 'redémarrage' sur apache pour recharger les certs. N'oubliez pas tous les sites parcourus par le même server web, alors le redémarrage affectera tous.

Donc:

1) Je envisage de passer à l'hébergement virtuel dynamic «configuré dynamicment» pour Apache, cependant, selon ce site ici , ce qui suit est indiqué:

"La terminaison SSL n'est pas possible sur le server à less que tous les domaines hébergés dynamicment soient sous-domaines couverts par un certificate SSL de sous-domaine générique "

Chaque site est cependant son propre domaine et pas seulement des sous-domaines.

Existe-t-il un moyen d'atteindre cet hébergement de masse avec une utilisation ssl dynamic dans Apache. Sinon (ce qui, selon moi, est le cas), que puis-je mettre «en avant» d'apache pour mettre fin à la connection ssl qui ne nécessite pas de redémarrage? (Il doit avoir un moyen de modifier le cert mais n'affecte pas les autres sites qui s'exécutent sur le même server IP / Web)

Ie (HAPROXY / Pound / autre ??) -> Apache -> IIS

Je mettrai le proxy TLT Hitch devant apache – https://hitch-tls.org/ .

Dans la list des fonctionnalités:

  • Coffre-fort pour les grandes installations: performant jusqu'à 15 000 sockets d'écoute et 500 000 certificates.
  • Prise en charge des recharges de configuration sans interruption des certificates et des points d'extrémité d'écoute.

À less qu'il ne soit très important pour vos users de créer des RSE et de choisir les CA eux-mêmes, envisagez de vous familiariser avec Let's Encrypt et Acmetool. Avec un peu de script pour append et supprimer des domaines, vous obtiendrez des certificates gratuits pour tous les domaines avec émission automatique et renouvellement automatique. Set and forget = Win: Win.

Voir: https://info.varnish-software.com/blog/five-steps-to-secure-varnish-with-hitch-and-lets-encrypt