因此,我正在设置一个反向代理,将从互联网上可以看到。我将在反向代理上安装中间CA签名的SSL证书。反向代理将终止原始SSL连接,但将与原始服务器建立另一个SSL连接,并转发应用程序流量。
如果我的域是acme.com,那么我的反向代理上的SSL证书将具有cn: acme.com。我的原始服务器将具有一个自签名的SSL证书。我的问题是,即使最终用户不能直接访问原始服务器上安装的SSL证书,我也应该使用相同的cn: acme.com吗?在自签名原始服务器上不使用cn: acme.com的优缺点是什么?
内部服务器的证书主题与是否明确信任该特定证书无关紧要,例如通过反向代理中的指纹(即,不要盲目地信任所有内容)。但是信任特定证书意味着如果内部设置发生更改,您还需要更改信任的证书(即新证书)。如果您不能完全控制内部设置,则这尤其可能成为问题。
如果您不使用自签名证书,而是使用内部CA颁发的证书,将会更好地扩展。在这种情况下,只要证书的主题与域匹配,就可以信任您代理中的内部CA。只要主题仍与域匹配并且证书仍由受信任的内部CA颁发,这便可以独立于代理设置独立更改内部证书。