Traffic_Server 反向代理 https问题请教!!!!(在线等)
本帖最后由 haode009 于 2013-01-20 17:17 编辑需要实现:TS反向代理,客户端通过https访问(需要用到证书),源应用地址是http的访问方式。
目前的网络环境:搭建一台linux5.5虚拟机作为ts服务器IP:192.168.1.172测试客户端电脑在同一个网络中IP:192.168.1.171
1、目前TS已经实现反向代理的访问;
2、通过openssl生成了CA证书与服务器证书,证书格式都是.pem.对records.config进行了如下配置:
(1)CONFIG proxy.config.ssl.enabled INT 1;
(2)proxy.config.ssl.server.cert.filenameSTRING server.crt.pem(这条本身配置文件中没有看到,新添加的,服务器证书名)
(3)CONFIG proxy.config.ssl.server.cert.path STRING /home/user/ssl/certs(服务器证书位置)
(4)CONFIG proxy.config.ssl.server.private_key.filename STRING server.pem(服务器证书私钥文件名)
(5)CONFIG proxy.config.ssl.server.private_key.path STRING /home/user/ssl/private(服务器证书私钥位置)
(6)CONFIG proxy.config.ssl.CA.cert.filename STRING ca.crt.pem(根CA证书名)
(7)CONFIG proxy.config.ssl.CA.cert.path STRING /home/user/ssl/certs(根CA证书位置);
proxy.config.ssl.client.certification_level 这项我是选择的1 客户端证书为可选项。
3.目前存在的问题。在remap.config中配置了map https://123.com/ http://www.gdin.edu.cn/,但是从客户端电脑打开https://123.com/就是无法显示该网页。是否还有其他地方需要配置的?TS后台的哪个文件可以对错误情况进行了解? 前一段时间也搞过SSL,一直没搞通,后来感觉用处不大就不理他了。 本帖最后由 haode009 于 2013-01-20 19:53 编辑
公司领导安排的任务。。。llzqq 发表于 2013-01-20 17:23 static/image/common/back.gif
前一段时间也搞过SSL,一直没搞通,后来感觉用处不大就不理他了。 1,https 在3.2以及后续版本里做了不少改进(改变),原https是有部分配置可以配置在records.config,新版里全部废掉放到ssl_multicert.config里了
2,CONFIG proxy.config.ssl.enabled INT 1;这个在反向代理里不是最关键的,而监听端口才是最重要的,你应该netstat看看是否已经监听443了,这个配置在3.0->3.2里也有很大变化,一定要看对应版本的records.config:如新版的里有这个:
# Deprecated.
# SSL ports should now be configured via proxy.config.http.server_ports
#CONFIG proxy.config.ssl.server_port INT 443
3,如果还有问题,开debug,打https.*|ssl.*看看
本帖最后由 haode009 于 2013-01-21 22:13 编辑
谢谢您的指教。
我用的是3.2的版本,还有问题请教下:目前443端口已经通了(开启了records.config里面的443端口),但SSL证书的相关配置records.config里面都不涉及了吗?看到ssl_multicert.config里面好像没有证书路径的设置,针对证书需要设置哪些条件?aaaaaa 发表于 2013-01-21 19:52 static/image/common/back.gif
1,https 在3.2以及后续版本里做了不少改进(改变),原https是有部分配置可以配置在records.config,新版里 ... 路径还是records.config里定义的。如果有问题,打开ssl debug看看 本帖最后由 haode009 于 2013-01-21 23:56 编辑
/var/log/messages下的日志。
Jan 21 22:33:19 localhost traffic_server: NOTE: --- Server Starting ---
Jan 21 22:33:19 localhost traffic_server: NOTE: Server Version: Apache Traffic Server - traffic_server - 3.2.0 - (build # 0170 on Jan 17 2013 at 00:22:39)
Jan 21 22:33:19 localhost traffic_server: {0x4013e5b0} STATUS: opened /usr/local/var/log/trafficserver/diags.log
Jan 21 22:39:23 localhost traffic_manager: {0xb7f7e6e0} ERROR: ==> Cleaning up and reissuing signal #15
Jan 21 22:39:23 localhost traffic_manager: {0xb7f7e6e0} ERROR:(last system error 2: No such file or directory)
Jan 21 22:39:23 localhost traffic_manager: {0xb7f7e6e0} ERROR: ==> signal #15
Jan 21 22:39:23 localhost traffic_manager: {0xb7f7e6e0} ERROR:(last system error 2: No such file or directory)
Jan 21 22:39:28 localhost traffic_cop: --- Cop Starting ---
Jan 21 22:39:28 localhost traffic_cop: traffic_manager not running, making sure traffic_server is dead
Jan 21 22:39:28 localhost traffic_cop: cop couldn't chown the file: '/usr/local/var/trafficserver/server.lock' for 'nobody' (99/99) : No such file or directory
Jan 21 22:39:28 localhost traffic_cop: spawning traffic_manager
Jan 21 22:39:28 localhost traffic_manager: NOTE: --- Manager Starting ---
Jan 21 22:39:28 localhost traffic_manager: NOTE: Manager Version: Apache Traffic Server - traffic_manager - 3.2.0 - (build # 0170 on Jan 17 2013 at 00:20:59)
Jan 21 22:39:28 localhost traffic_manager: NOTE: RLIMIT_NOFILE(7):cur(30000),max(30000)
Jan 21 22:39:28 localhost traffic_manager: {0xb7fc06e0} STATUS: opened /usr/local/var/log/trafficserver/manager.log
Jan 21 22:39:30 localhost traffic_server: NOTE: --- Server Starting ---
Jan 21 22:39:30 localhost traffic_server: NOTE: Server Version: Apache Traffic Server - traffic_server - 3.2.0 - (build # 0170 on Jan 17 2013 at 00:22:39)
Jan 21 22:39:30 localhost traffic_server: {0x4013e5b0} STATUS: opened /usr/local/var/log/trafficserver/diags.logaaaaaa 发表于 2013-01-21 22:29 static/image/common/back.gif
路径还是records.config里定义的。如果有问题,打开ssl debug看看 本帖最后由 haode009 于 2013-01-21 23:50 编辑
还有ssl_multicert.config 中的dest_ip是需要配置什么的地址?代理服务器本身的还是客户端访问的?
后台/usr/local/var/log/trafficserver下的错误信息:
20130121.22h56m32s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for '202.101.172.22:443/'
20130121.23h45m26s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for '192.168.1.9:443/'
20130121.23h46m04s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for 'talk.google.com:443/'
20130121.23h46m04s RESPONSE: sent 192.168.1.171 status 403 (Tunnel Forbidden) for 'talkx.l.google.com:5222/'
20130121.23h46m11s RESPONSE: sent 192.168.1.171 status 403 (Tunnel Forbidden) for 'talkx.l.google.com:5222/'
20130121.23h46m32s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for 'talk.google.com:443/'
20130121.23h46m32s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for 'mail.google.com:443/'
20130121.23h46m32s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for 'mail.google.com:443/'
linux 下的dubug https的命令是?aaaaaa 发表于 2013-01-21 22:29 static/image/common/back.gif
路径还是records.config里定义的。如果有问题,打开ssl debug看看 本帖最后由 haode009 于 2013-01-22 13:55 编辑
1、records.config 配置点:
CONFIG proxy.config.reverse_proxy.enabled INT 1
CONFIG proxy.config.http.server_ports STRING 80
CONFIG proxy.config.ssl.server_port INT 443
CONFIG proxy.config.ssl.server.cert.path STRING /home/user/ssl/certs
CONFIG proxy.config.ssl.enabled INT 1
2、ssl_multicert.config 配置点:
dest_ip=192.168.1.172(代理服务器IP) ssl_cert_name=server4.crt.pem ssl_key_name=server4.pem
3、remap.config配置点:
map https://192.168.1.172/ http://www.gdin.edu.cn/
IE代理设置:IP 192.168.1.172 端口80
本帖最后由 haode009 于 2013-01-22 15:35 编辑
目前已经调通配置服务器端证书的HTTPS的访问方式。
目前我是在remap.config与ssl_multicert.config都配置用代理服务器IP地址访问https的方式,但是如果代理服务器后面有多个应用系统的话,走反向代理,访问IP该如何配置?
如果配置服务器与客户端证书的双向认证,客户端证书的相关配置还是需要在records.config完成吧?
页:
[1]