mod_proxy:从8443上的apache代理tomcat时，是否需要tomcat证书

Question

我现在开始将SSL登录页面添加到我的now应用程序。我正在使用apache mod_proxy代理tomcat。

一些教程显示，我需要获得apache的SSL证书，并将登录页面代理到端口8443上的tomcat。

端口8443是否自动成为tomcat的加密SSL端口？我需要apache证书和tomcat证书吗？

安迪

Answer 1

就浏览器而言，Apache Httpd将“终止”与web服务器的SSL/TLS连接。事实上，它提供的内容是否来自Tomcat对浏览器来说并不重要。在这种情况下，浏览器只能看到Apache Httpd。如果它是用浏览器识别的证书设置的，这就足够了。

除此之外，您可能需要加密Apache Httpd和Tomcat之间的连接。只有当您不信任两者之间的网络时，这才是真正有用的(例如，在同一台主机上很少有用)。我不认为mod_proxy_ajp支持SSL/TLS，但mod_proxy_http支持，在这种情况下，您需要配置SSLProxy*指令(see introduction)：在这方面，Apache Httpd将是一个客户端，而Tomcat在这种情况下将需要配置一个证书。

如果您不需要加密Apache Httpd和Tomcat之间的链接，最简单的方法可能是使用mod_proxy_http作为Tomcat的普通HTTP端口的反向代理(并确保该端口不能从外部访问，例如通过防火墙)。