跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
如何配置 Apache 2.2 Web 服务器以使用 SSL 内核代理
如何配置 Oracle iPlanet Web Server 以使用 SSL 内核代理
如何配置 SSL 内核代理以回退到 Apache 2.2 SSL
可将在 Oracle Solaris 上运行的任何 Web 服务器配置为在内核级别使用 SSL 协议(即 SSL 内核代理)。此类 Web 服务器的示例为 Apache 2.2 Web 服务器和 Oracle iPlanet Web Server。SSL 协议可在两个应用程序之间提供保密性、消息完整性和端点身份验证。SSL 内核代理在 Web 服务器上运行时通信将加速。下图显示了基本配置。
图 3-1 内核加密的 Web 服务器通信
SSL 内核代理实现 SSL 协议的服务器端。该代理有以下几个优点。
该代理加速了服务器应用程序(如 Web 服务器)的 SSL 性能,因此可提供比依赖用户级 SSL 库的应用程序更加优越的性能。性能提高可能超过 35%,这取决于应用程序的工作负荷。
SSL 内核代理是透明的。它没有指定的 IP 地址。因此,Web 服务器可看到真正的客户机 IP 地址和 TCP 端口。
SSL 内核代理和 Web 服务器可协同工作。
图 3-1 显示了一个基本方案,其中包含使用 SSL 内核代理的 Web 服务器。在端口 443 上配置 SSL 内核代理,而在端口 8443 上配置 Web 服务器,其中 Web 服务器可收到未加密的 HTTP 通信。
如果 SSL 内核代理不支持请求的加密,可将其配置为回退到用户级加密算法。
图 3-2 显示了更复杂的方案。将 Web 服务器和 SSL 内核代理配置为回退到用户级 Web 服务器 SSL。
在端口 443 上配置 SSL 内核代理。在两个端口上配置 Web 服务器。端口 8443 接收未加密的 HTTP 通信,而端口 443 作为回退端口。回退端口接收不受 SSL 内核代理支持的加密套件的加密 SSL 流量。
图 3-2 使用用户级回退选项进行内核加密的 Web 服务器通信
SSL 内核代理支持 SSL 3.0 和 TLS 1.0 协议,以及最常见的加密套件。有关完整列表,请参见 ksslcfg(1M) 手册页。对于不受支持的加密套件,该代理可配置为回退到用户级 SSL 服务器。