使lighttpd (lighty)代理根据服务器名称指示转发HTTPS请求，而不返回SSL证书

Question

我目前正在使用lighty作为两个运行在HTTP服务器的小农场上的不同two应用的负载平衡反向代理：

• 圆带(URL_1) => Server_Group_1
• 圆带(URL_2) => Server_Group_2

我想将HTTP服务器转换为HTTPS服务器。URL_1有CERT_1，URL_2有CERT_2，与很多人不同，不希望提供前端代理的证书。我希望前端代理将HTTPS请求传递给次要代理: Proxy_1 (服务CERT_1)和Proxy_2 (服务CERT_2)。

这在SNI (服务器名称指示)中应该是可能的。但是，我所读到的关于SNI的所有内容都给出了前端代理为两个证书提供服务的例子。我不想把我的证书都放在兄弟会的代理上。说我疯了，但我实际上想要持有证书更接近应用程序。

对于两个URL来说，这似乎是一个很大的麻烦。它是。我的真实案件涉及几十个URL。因此，如果不将所有证书存放在一个地方，可能会显得很愚蠢。但也有“组织方面的考虑”，这使得单独管理它们是有利的。

因此，基本上，我想使用SNI进行纯转发，并将SSL终端推迟到下游。

感谢您的阅读。我希望从中学到很多东西！

Answer 1

您所要做的并不是依赖HTTP反向代理，而是依赖TCP连接级别的反向代理，具有能够识别SSL/TLS客户端Hello的附加功能，请查找服务器名称扩展并相应地进行分派。

我意识到这并不是你想要的答案，但我不会考虑HTTP服务器。

看起来这个项目可能能够做到这一点(我还没试过)。