N
numx
Jungspund
Hallo Leute,
ich habe mal eine Verständnisfrage zu SSL Zertifikaten. Mein Netz sieht folgendermaßen aus. Zum Internet hin befindet sich eine Firewall, hinter der Firewall (in der DMZ) steht ein Reverse Proxy und im internen Netz ein Web-Server mit einer Anwendung die man über das Internet erreichen kann. der Reverse Proxy sowie auch der Web-Server laufen auf Apache. Die Anfrage kommt vom Internet an die Firewall (Hardwaregerät eines bestimmten Herstellers) an. Die Firewall macht ein DNAT (externe IP --> IP vom Proxy) zum Reverse Proxy und der Proxy fragt dann beim Anwendungs-Server (Web-Server) nach. Der Web-Server wiederum antwortet dem Proxy und der Proxy gibt die Informationen dann über die Firewall an den Client zurück. Jetzt wollte ich mir ein SSL Zertifikat beschaffen um die Verbindung vom Client zum Proxy zu Verschlüsseln. Das Zertifikat muss auf dem Proxy-Server eingespielt werden da es auf der Firewall nicht möglich ist. Da der externe Client aber zuerst bei der Firewall anfragt und daurch die externe IP anspricht und nicht die IP vom Proxy weis ich nicht wie ich den Common Name wählen soll der im Zertifikat vom Proxy-Server steht. Gebe ich dem Common Name den ServerNamen (aus httpd.conf) vom Proxy baut sich zwar eine verschlüsselte Verbindung auf aber der Client bekommt eine Meckermeldung das das Zertifikat nicht vertrauenswürdig ist weil er ja die externe IP angefragt hat und nicht die direkt den ServerNamen wofür das Zertifikat ausgestellt ist. Kann mir vielleicht jemand eine Typ geben? Übrigends das Zertifikat ist bei einer Zertifizierungsstelle gekauft und gültig. Der Client bekommt halt nur die Meckermeldung weil er die externe IP anfragt und nicht den Namen des Proxy-Servers.
ich habe mal eine Verständnisfrage zu SSL Zertifikaten. Mein Netz sieht folgendermaßen aus. Zum Internet hin befindet sich eine Firewall, hinter der Firewall (in der DMZ) steht ein Reverse Proxy und im internen Netz ein Web-Server mit einer Anwendung die man über das Internet erreichen kann. der Reverse Proxy sowie auch der Web-Server laufen auf Apache. Die Anfrage kommt vom Internet an die Firewall (Hardwaregerät eines bestimmten Herstellers) an. Die Firewall macht ein DNAT (externe IP --> IP vom Proxy) zum Reverse Proxy und der Proxy fragt dann beim Anwendungs-Server (Web-Server) nach. Der Web-Server wiederum antwortet dem Proxy und der Proxy gibt die Informationen dann über die Firewall an den Client zurück. Jetzt wollte ich mir ein SSL Zertifikat beschaffen um die Verbindung vom Client zum Proxy zu Verschlüsseln. Das Zertifikat muss auf dem Proxy-Server eingespielt werden da es auf der Firewall nicht möglich ist. Da der externe Client aber zuerst bei der Firewall anfragt und daurch die externe IP anspricht und nicht die IP vom Proxy weis ich nicht wie ich den Common Name wählen soll der im Zertifikat vom Proxy-Server steht. Gebe ich dem Common Name den ServerNamen (aus httpd.conf) vom Proxy baut sich zwar eine verschlüsselte Verbindung auf aber der Client bekommt eine Meckermeldung das das Zertifikat nicht vertrauenswürdig ist weil er ja die externe IP angefragt hat und nicht die direkt den ServerNamen wofür das Zertifikat ausgestellt ist. Kann mir vielleicht jemand eine Typ geben? Übrigends das Zertifikat ist bei einer Zertifizierungsstelle gekauft und gültig. Der Client bekommt halt nur die Meckermeldung weil er die externe IP anfragt und nicht den Namen des Proxy-Servers.
![:]](/styles/default/xenforo/smilies-ub/pleased.gif "Freude :]")
dann sollte es auch keine meckermeldung geben....