在服务器 b.example.com 上配置 Apache 以允许从 example.com 请求 b.example.com 上的安全资源而不会发出警告？

Posted 2023-03-28

【中文标题】在服务器 b.example.com 上配置 Apache 以允许从 example.com 请求 b.example.com 上的安全资源而不会发出警告？

【英文标题】：Configuring Apache on server b.example.com to allow secure resources on b.example.com to be requested from example.com without warnings?

【发布时间】：2012-04-10 00:37:03

【问题描述】：

我有服务器 A，它在 www.example.com 上托管我们的主站点；我们有一个涵盖 *.example.com 的 SSL 证书。

在我们网站的安全部分，我们希望向我们编写并托管在单独的机器/IP 服务器 B 上的 Web 服务发出请求。该 Web 服务已分配给 sub.example.com，所以我们的 SSL 证书涵盖了这一点。

在服务器 B 上配置 Apache 方面我们需要做什么？据我了解，除了监听443的虚拟部分，我们还需要配置：

SSLEngine On
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key

我想我的问题是——我们是否必须在这里使用来自服务器 A 的证书和密钥，或者我们可以只创建一个自签名，也许在创建证书时指定 sub.example.com？

我应该补充一下——这样做的目的是避免在访问者进入服务器 A 上 example.com 的安全部分时出现浏览器安全警告等。 .

非常感谢！

【参考方案1】：

为避免警告，从使用https:// URL 获得的页面提供的页面发出的所有请求也应使用 HTTPS 发出。

两台服务器都应配置对它们要服务的主机名有效的证书。

如果您的网络服务（在服务器 B 上）未被服务器 A 的用户直接使用，也就是说，如果浏览器与服务器 A 对话，那么服务器 A 在后台与服务器 B 对话（实际上，服务器 A 是客户端），但浏览器从不向服务器 B 发出任何请求，您可以毫无问题地在服务器 B 上使用自签名证书，前提是您将在服务器 A 上运行的应用程序配置为信任该证书（这完全取决于此应用程序已实现）。

如果用户的浏览器需要同时连接到服务器 A 和服务器 B（可能通过 XHR 或加载额外的内容，例如图像或脚本），您应该确保两个服务器都使用浏览器信任的证书.在这种情况下，您必须在两者上都使用通配符证书 + 私钥（或至少证书 + 私钥对每个都有效。）

【讨论】：

感谢您提供的信息丰富的回答。澄清一下——我们有情况（2）。浏览器向服务器 B 上的 Web 服务发出 AJAX 请求以加载额外内容。你能再解释一下私钥部分吗？是否可以为服务器 B 创建我们自己的私钥（我假设它是服务器 A 上原始私钥的某种子密钥）？

通常，在服务器上“安装证书”的表达方式也意味着安装其对应的私钥。由于您使用的是通配符证书，因此可以在两台服务器上使用相同的证书+私钥。但是，该证书只有一个私钥，因此需要将其复制并安装在两台服务器上。如果你想使用不同的私钥，你还需要一个不同的证书（所以你需要单独申请）。 （这通常是更好的做法，也是不鼓励使用通配符证书的原因之一。）

如果我们申请了特定的 sub.example.com 证书，但同时在 *.example.com 上运行了通配符证书，会发生什么？有没有预见到的问题？我们必须从同一个 CA 机构购买吗？出于安全原因，我不想在不同的服务器上拥有多个私钥副本，因此最好使用单独的证书。

@Edwardr，重要的是客户端看到了它信任的证书，并且对那台机器有效。可以将sub.example.com 放在一个上，将*.example.com 放在另一个上（例如www.example.com）。他们不必来自同一个 CA。顺便说一句，关于 AJAX 服务，您可能会遇到关于同源策略的问题，但这并不特定于 HTTPS。