Ignorer les liens de navigation | |
Quitter l'aperu | |
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
Protection de serveurs Web à l'aide du proxy SSL au niveau du noyau (tâches)
Configuration d'un serveur Web Apache 2.2 afin qu'il utilise le proxy SSL au niveau du noyau
Utilisation du proxy SSL au niveau du noyau dans les zones
4. IP Filter dans Oracle Solaris (présentation)
6. Architecture IPsec (présentation)
7. Configuration d'IPsec (tâches)
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
Tout serveur Web qui s'exécute sur Oracle Solaris peut être configuré de manière à utiliser le protocole SSL au niveau du noyau, c'est-à-dire le proxy SSL au niveau du noyau. C'est le cas par exemple du serveur Web Apache 2.2 et du serveur Oracle iPlanet Web Server. Le protocole SSL assure la confidentialité, l'intégrité des messages et l'authentification des points d'extrémité entre deux applications. Lorsque le proxy SSL au niveau du noyau s'exécute sur le serveur Web, les communications sont accélérées. L'illustration suivante présente la configuration de base.
Figure 3-1 Communications du serveur Web chiffrées par le noyau
Le proxy SSL au niveau du noyau met en oeuvre le côté serveur du protocole SSL. Il offre plusieurs avantages.
Le proxy accélère les performances SSL pour les applications serveur, telles que les serveurs Web, de manière à ce qu'elles offrent de meilleures performances que des applications utilisant des bibliothèques SSL au niveau de l'utilisateur. L'amélioration des performances peut dépasser 35%, en fonction de la charge de travail de l'application.
Le proxy SSL au niveau du noyau est transparent. Aucune adresse IP ne lui est affectée. Par conséquent, les serveurs Web voient les adresses IP client réelles et les ports TCP.
Le proxy SSL au niveau du noyau et les serveurs Web sont conçus pour fonctionner ensemble.
La Figure 3-1 illustre un scénario de base avec un serveur Web utilisant le proxy SSL au niveau du noyau. Le proxy SSL au niveau du noyau est configuré sur le port 443, tandis que le serveur Web est configuré sur le port 8443, où il reçoit des communications HTTP non chiffrées.
Le proxy SSL au niveau du noyau peut être configuré de manière à utiliser le chiffrement au niveau de l'utilisateur comme solution de repli dans les cas où il ne prend pas en charge le chiffrement demandé.
La Figure 3-2 illustre un scénario plus complexe. Le serveur Web et le proxy SSL au niveau du noyau sont configurés de manière à utiliser le protocole SSL de serveur Web au niveau de l'utilisateur comme solution repli.
Le proxy SSL au niveau du noyau est configuré sur le port 443. Le serveur Web est configuré sur deux ports. Le port 8443 reçoit des communications HTTP non chiffrées, tandis que le port 443 est un port de repli. Le port de repli reçoit le trafic SSL chiffré pour les suites de chiffrement qui ne sont pas prises en charge par le proxy SSL au niveau du noyau.
Figure 3-2 Communications de serveur Web chiffrées par le noyau avec option de repli sur le chiffrement au niveau de l'utilisateur
Le proxy SSL au niveau du noyau prend en charge les protocoles SSL 3.0 et TLS 1.0, ainsi que la plupart des suites de chiffrement courantes. La page de manuel ksslcfg(1M) contient la liste complète. Le proxy peut être configuré de manière à se replier sur le serveur SSL au niveau de l'utilisateur pour les suites de chiffrement qui ne sont pas prises en charge.