Problème SSL Proxy Proverse Apache 2.4

Je tente de créer l'installation suivante à l'aide d'Apache:

UserBrowser ----Client Certificate---> LoadBalancer (Apache 2.4) then LoadBalancer (Apache 2.4) ----LB Client Certificate ----> Apache 2.2 Web Server 

L'user se connecte donc à l'équilibreur de charge et fournit un certificate client. Cela fonctionne correctement.

Un Reverse Proxy fait alors que Load Balancer se connecte au server Web, le server Web request un certificate de Load Balancer et j'obtiens l'erreur suivante:

 Proxy client certificatee callback: (0.0.0.0:443) entered Proxy client certificatee callback: (0.0.0.0:443) downstream server wanted client certificatee but none are configured [remote 0.0.0.1:443] SSL Proxy connect failed [ssl:info] SSL Library Error: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure (SSL alert number 40) [ssl:info] [remote 0.0.0.1:443] Connection closed to child 0 with abortive shutdown (server 0.0.0.0:443) [ssl:info] [remote 0.0.0.1:443] SSL handshake failed: sending 502 

Load Balancer Config:

 SSLProxyEngine on ProxyRequests off ProxyPreserveHost on Proxytimeout 600 SSLProxyCheckPeerCN off SSLProxyCheckPeerName off SSLProxyMachineCertificateFile "/path/to/keyandcert.pem" 

Configuration du server Web:

 SSLVerifyClient require 

Ce scénario fonctionne si je supprime SSLVerifyClient à partir du server Web, le trafic est ensuite équilibré. Je dois avoir une vérification du client entre l'user – LB et entre le LB-WS.

Keys + Certs a été généré en utilisant un module long de 1024 bits

Quelqu'un peut-il donner une idée de ce qui pourrait se passer mal ici?

One Solution collect form web for “Problème SSL Proxy Proverse Apache 2.4”

Votre request n'est pas claire. Il peut y avoir, cependant, les cas suivants que je peux imaginer:

  • vous avez l'intention de build un système d'authentification de certificate client. Dans ce cas, le client doit être authentifié par l'équilibreur, car il n'existe aucun moyen d'utiliser un équilibreur HTTP, une décharge SSL sur l'équilibreur et de passer le certificate client sur le backend. Une fois authentifié (ou non) – l'équilibreur doit signaler le résultat au backend en utilisant les en-têtes HTTP.
  • vous avez l'intention de créer un schéma de déchargement SSL simple. Dans ce cas, vous n'avez pas besoin du HTTPS entre un équilibreur et le backend, comme d'habitude, ils se communiquent à l'aide d'un transport de confiance.

Quoi qu'il en soit, le schéma que vous décrivez ne correspond pas à aucun des éléments ci-dessus.

PS utilise nginx comme équilibreur, apache est depuis longtime disparu.

  • Comment vérifier la version de SSL dans le server IIS 7?
  • SSLVerifyClient requirejs dans DNS Cloudflare
  • Est-il possible d'effectuer une authentification par certificate client sans utiliser HTTPS sur un server web?
  • Problèmes liés à VirtualHost pour les domaines SSL et non SSL
  • Nginx: désactivez la compression gzip uniquement pour http
  • Haproxy + stunnel + keep-alive?
  • EC2 CentOS 5 Configuration SSL Cert
  • Comment build Apache httpd 2.4.20 sur CentOS 7 avec support http2?
  • Erreur de connection SSL pour un seul site (de plusieurs) sur le server
  • Certificats EV SSL et liens vers des files statiques via Amazon S3 / Cloudfront
  • Désactiver la compression dégonchée dans nginx SSL
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.