example1.com和example2.com决心host0。 host0运行有两个VirtualHosts Apache的反向代理。它example1.com代表请求主机1和example2.com到主机2。
在所有地方,这显然可以使工作使用HTTP。
使用HTTPS,我可以坚持上host0为example1.com和example2.com键,然后有host0谈话HTTP或HTTPS来host1和host2。鉴于SNI,应该工作了。
我的问题:能不能做没有example1.com或example2.com上host0键来工作?我想避免host0是进行中间人攻击的位置。
如果我正确理解SNI,客户端已传送的期望的虚拟主机host0后的密钥材料只交换。这应该是(?)足够的信息让Apache实质上转发到主机1或主机2的连接,而不在传输的内容看着都。这并不需要关键材料都没有。
你真的需要Apache反向代理,或者您需要的问题解决了?我有同样的问题,我在TCP模式HAProxy的解决了在这里描述http://blog.haproxy.com/2012/04/13/enhanced-ssl-load-balancing-with-server-name-indication-sni-tls-extension/代替的Apache反向代理。
如果你不介意使用Nginx的或HAProxy的,而不是Apache的,你会发现在在ServerFault以下问题很好的答案: