在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

SSL 内核代理加密 Web 服务器通信

可将在 Oracle Solaris 上运行的任何 Web 服务器配置为在内核级别使用 SSL 协议,即 SSL 内核代理。此类 Web 服务器的示例为 Apache 2.2 Web 服务器和 Oracle iPlanet Web Server。SSL 协议可在两个应用程序之间提供保密性、消息完整性和端点身份验证。SSL 内核代理在 Web 服务器上运行时通信将加速。下图显示了基本配置。

图 3-1  内核加密的 Web 服务器通信

image:图中显示了使用加密的 SSL 端口与 Web 服务器进行通信的 Web 客户机。

    SSL 内核代理实现 SSL 协议的服务器端。该代理有以下几个优点。

  • 该代理加速了服务器应用程序(如 Web 服务器)的 SSL 性能,因此可提供比依赖用户级 SSL 库的应用程序更加优越的性能。性能提高可能超过 35%,这取决于应用程序的工作负荷。

  • SSL 内核代理是透明的。它没有指定的 IP 地址。因此,Web 服务器可看到真正的客户机 IP 地址和 TCP 端口。

  • SSL 内核代理和 Web 服务器可协同工作。

    Figure 3–1 显示了一个基本方案,其中包含使用 SSL 内核代理的 Web 服务器。在端口 443 上配置 SSL 内核代理,而在端口 8443 上配置 Web 服务器,其中 Web 服务器可收到未加密的 HTTP 通信。

  • 如果 SSL 内核代理不支持请求的加密,可将其配置为回退到用户级加密算法。

    Figure 3–2 显示了更复杂的方案。将 Web 服务器和 SSL 内核代理配置为回退到用户级 Web 服务器 SSL。

    在端口 443 上配置 SSL 内核代理。在两个端口上配置 Web 服务器。端口 8443 接收未加密的 HTTP 通信,而端口 443 作为回退端口。回退端口接收不受 SSL 内核代理支持的加密套件的加密 SSL 流量。

图 3-2  使用用户级回退选项进行内核加密的 Web 服务器通信

image:图中显示了使用可回退到用户级加密算法的 Web 服务器的 Web 客户机。

SSL 内核代理 支持 SSL 3.0 和 TLS 1.0 协议,以及最常见的加密套件。有关完整列表,请参见 ksslcfg(1M) 手册页。对于不受支持的加密套件,该代理可配置为回退到用户级 SSL 服务器。