অ্যাপাচি লোডব্লান্সার এবং ব্যাকএন্ডের মধ্যে এইচটিপিএস ব্যবহার করা


30

আমি 2 অ্যাপাচি সার্ভারের সামনে লোডবালেন্সার হিসাবে কনফিগার করা অ্যাপাচি (2.4) সার্ভার ব্যবহার করছি। লোডবালেন্সার এবং ব্যাকএন্ডের মধ্যে যখন আমি HTTP সংযোগগুলি ব্যবহার করি এটি ঠিকঠাক কাজ করে তবে https ব্যবহার করা কার্যকর হয় না। লোডবালেন্সারের কনফিগারেশন:

SSLProxyEngine on
SSLProxyVerify none
SSLProxyCheckPeerCN off
<Proxy balancer://testcluster>
  BalancerMember https://[Backend1]:443/test
  BalancerMember https://[Backend2]:443/test
</Proxy>
ProxyPass /test balancer://testcluster

ব্যাকএন্ডে কেবলমাত্র এখন স্ব-স্বাক্ষরিত শংসাপত্র রয়েছে যার কারণে শংসাপত্র যাচাইকরণ অক্ষম করা আছে।

লোডবালেন্সারের ত্রুটি-লগের মধ্যে নিম্নলিখিতটি রয়েছে:

[proxy:error] [pid 31202:tid 140325875570432] (502)Unknown error 502: [client ...] AH01084: pass request body failed to [Backend1]:443 ([Backend1])
[proxy:error] [pid 31202:tid 140325875570432] [client ...] AH00898: Error during SSL Handshake with remote server returned by /test/test.jsp
[proxy_http:error] [pid 31202:tid 140325875570432] [client ...] AH01097: pass request body failed to [Backend1]:443 ([Backend1]) from [...] ()

ব্রাউজারে ত্রুটি-পৃষ্ঠাতে রয়েছে:

Proxy Error

The proxy server could not handle the request GET /test/test.jsp.
Reason: Error during SSL Handshake with remote server

আমি ইতিমধ্যে উল্লিখিত হিসাবে HTTP প্রোটোকল এবং পোর্ট 80 কাজ করে কনফিগারেশন পরিবর্তন। এছাড়াও ক্লায়েন্ট এবং লোডবালেন্সারের কাজের মধ্যে https সংযোগগুলি, সুতরাং লোডবালেন্সারের এসএসএল মডিউলটি সঠিকভাবে সেটআপ করা হয়েছে বলে মনে হয়। Https এর মাধ্যমে সরাসরি ব্যাকএন্ডে সংযোগ স্থাপন করলে কোনও ত্রুটি হয় না।

আপনার সময় জন্য আগাম ধন্যবাদ


সম্পাদনা: আমি এটি আবিষ্কার করেছি, সমস্যাটি হচ্ছে আমার শংসাপত্রগুলির সাধারণ নামটি সার্ভারের নামের সাথে মেলে না। আমি ভেবেছিলাম এসএসএল প্রক্সিভেরিফাইফাই কোনওটির কারণে এই অমিলটি উপেক্ষা করা হবে না, তবে তা হয় না। অ্যাপাচি ২.৪.৫ এর আগে এই চেকটি SSLProxyCheckPeerCN বন্ধ ব্যবহার করে অক্ষম করা যেতে পারে তবে উচ্চতর সংস্করণগুলিতে (আমি ২.৪..7 ব্যবহার করছি) SSLProxyCheckPeerName বন্ধও নির্দিষ্ট করা দরকার।

এসএলপ্রোক্সিচেক্পেরনামের জন্য অ্যাপাচি ডকুমেন্টেশন

কাজের কনফিগারেশনটি দেখতে এরকম দেখাচ্ছে:

SSLProxyEngine on
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off

<Proxy balancer://testcluster>
  BalancerMember https://[backend1]:443/test
  BalancerMember https://[backend1]:443/test
</Proxy>
ProxyPass /test balancer://testcluster

দুর্ভাগ্যক্রমে আমি খ্যাতি অভাবের জন্য আমার নিজের প্রশ্নের উত্তর দিতে পারি না তাই আমি আমার প্রশ্নটি সম্পাদনা করেছি, আমি আশা করি যে এটি একই সমস্যার সম্মুখীন হয়ে এমন কাউকে সহায়তা করে


মজাদার. আমি এটি অ্যাপাচি ২.২ সহ করতাম এবং কখনও এসএসএলপোক্সি যাচাই করিনি এবং স্ব-স্বাক্ষর শংসাপত্রগুলির সাথে কখনও সমস্যা হয়নি। আপনি নিশ্চিত ব্যাকএন্ড সার্ভার ঠিক আছে।?
ETL

@ETL আমি জানি না যে "এসএসএলপ্রক্সিও যাচাই করুন না" দরকার কিনা, আমি কেবল যুক্ত করেছিলাম যে এই সমস্যাটি সমাধান করতে পারে এই আশায়। লোড-ব্যালেন্সার সার্ভারে "উইজেট https: // [ব্যাকএন্ড 1] /est/test.jsp --no-চেক-শংসাপত্র" কল করা প্রত্যাশিত ফাইলটি ডাউনলোড করে। এনজি
ব্যবহারকারী 3240383

উত্তর:


16

সমস্যাটি দেখা গেল যে শংসাপত্রগুলির সাধারণ নামটি সার্ভারের নামের সাথে মেলে না।

অ্যাপাচি ২.৪.৫ এর আগে এই চেকটি ব্যবহার করে অক্ষম করা যেতে পারে SSLProxyCheckPeerCN offতবে উচ্চতর সংস্করণগুলিতে (যেমন ২.৪..7) SSLProxyCheckPeerName offএছাড়াও নির্দিষ্ট করা দরকার।

জন্য অ্যাপাচি ডকুমেন্টেশন SSLProxyCheckPeerName

কাজের কনফিগারেশনটি দেখতে এরকম দেখাচ্ছে:

SSLProxyEngine on
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off

<Proxy balancer://testcluster>
  BalancerMember https://[backend1]:443/test
  BalancerMember https://[backend1]:443/test
</Proxy>
ProxyPass /test balancer://testcluster

আপনার সাথে থাকা অ্যাপাচি সংস্করণটি পরীক্ষা করতে পারেন :

apachectrl -V

আরে কনফিগারেশনটি সামান্য ভিন্ন ব্যতীত আমার ঠিক একই সমস্যা রয়েছে: <Location /margin-tool> ProxyPass https://xxxx.thoughtworks.net:8443/margin-tool ProxyPassReverse https://xxxx.thoughtworks.net:8443/margin-tool </Location>একই সেটিংস কাজ করছে না। কোন ধারনা?
ব্যবহারকারী 157735

0

নীচে যুক্ত করা সমস্যার সমাধান করেছে

SSLProxyProtocol +TLSv1

5
রহস্যময় কনফিগার নমুনা দেওয়া ভাল মানের উত্তর নয়। ইন্টারনেট থেকে কপি-পেস্টিং স্ট্রিং কোনও পেশাদার সিস্টেম প্রশাসক যা করেন তা নয়। এটি ব্যাখ্যা করুন, এটি কী করে এবং কেন।
পিটার বলেছেন 21

জাভা 12 দিয়ে এটি নিয়ে ছুটে গেল - অন্যান্য বিষয়গুলির সাথে, এটি আমার সমস্যার সমাধান করেছে ....
womd

-2

আমি অ্যাপাচি ২.৪.৯ ব্যবহার করি এবং নিম্নলিখিত কোডটি httpd-ssl.conf এ যুক্ত করি

এসএসএলপ্রক্সিপ্রোটোকল + এসএসএলভি 3 + টিএলএসভি 1 + টিএলএসভি 1.1

আমি সমস্যাগুলি সমাধান করেছি


3
কখনও শুনেছি পুডল ? SSLv3 অক্ষম করা উচিত।
সোভেন

2
SSLv3 দুর্বল
অভ্যন্তরীণ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.