SSL トンネリングの設定

次の手順では、SSL をトンネリングするように Proxy Server を設定する方法について説明します。

SSL トンネリングを設定するには

1. サーバーマネージャーにアクセスしてサーバーインスタンスを選択し、「Routing」タブをクリックします。

2. 「Enable/Disable Proxying」リンクをクリックします。

3. ドロップダウンリストから connect://.*.443 リソースを選択します。

   connect:// 方式は、内部プロキシ表記であり、プロキシの外部には存在しません。connect については、「SSL トンネリングの技術的詳細」を参照してください。

   その他のポートに接続を許可するには、テンプレートで類似の URL パターンを使用することができます。テンプレートについては、第 16 章テンプレートとリソースの管理を参照してください。

4. 「Enable Proxying Of This Resource」を選択して、「了解」をクリックします。

   ---

   注意 –

   プロキシの設定が正しくない場合は、ほかのユーザーがプロキシを利用して、実際に接続しているホストからではなく、プロキシホストから telnet 接続が行われているかのように見せることができます。このため、本当に必要なポート以外は決して許可しないでください。また、クライアントホストを制限するために、プロキシでアクセス制御を使用してください。

   ---

SSL トンネリングの技術的詳細

内部的には、SSL トンネリングでは、次のように CONNECT 方式を宛先ホスト名およびポート番号とともにパラメータとして使用し、空行を続けます。

CONNECT energy.example.com:443 HTTP/1.0

Proxy Server からの正常な応答は次のようになり、その後に空行が続きます。

HTTP/1.0 200 Connection establishedProxy-agent: Sun-Java-System-Web-Proxy-Server/4.0

その後、クライアントとリモートサーバーの間で接続が確立されます。どちらかが接続を閉じるまで、データを双方向に転送できます。

内部的には、URL パターンに基づいた典型的な設定機構を利用するために、ホスト名とポート番号は、自動的に次のような URL にマップされます。

connect://energy.example.com:443

connect:// は、Proxy Server で使用される内部表記であり、設定を容易にし、ほかの URL パターンと統一するために使用されます。Proxy Server の外部では connect URL は存在しません。Proxy Server がこのような URL をネットワークから受け取ると、無効としてマークし、要求の処理を拒否します。