Apache 2.4 SSL配置

Question

我有一个关于Apache2.4的ssl配置的问题。我为我的vhost设置了以下ssl。有多个目录，但配置基本相同，只有is不同。如果我激活了这三个注释行，apache应该根据证书检查请求，而不仅仅是传递请求，对吗？我假设apache破解了来自互联网的所有请求的加密，并再次重新加密以传递请求。我说的对吗？有没有一种方法可以不破坏加密，只将证书检查委托给下一个系统？

RequestHeader set ClientProtocol HTTPS
SSLEngine On
SSLProtocol ALL -SSLv2 -SSLv3
SSLProxyEngine On
SSLProxyProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH

SSLCertificateFile /path/to/file.crt
SSLCertificateKeyFile /path/to/file.key

 <Directory /folder-name>
    #SSLVerifyClient optional_no_ca
    #SSLVerifyDepth 1
    #SSLOptions +OptRenegotiate +ExportCertData

    ProxyPass https://10.20.30.40:8443/
    ProxyPassReverse https://10.20.30.40:8443/
</Directory>

感谢你们的帮助和问候。塞巴斯蒂安

Answer 1

是的，此Apache作为代理终止SSL。然后，它建立或重用到后端的池化SSL连接。

除非后端使用mod_proxy_connect模块作为转发代理访问apache，否则无法真正让后端认为它是在与客户端握手。

一些应用程序服务器接受专有标头中的客户端证书正文，从而使该标识在后端服务器中可用。但它们实际上并不像代理/apache那样在握手中对其进行身份验证。