忘记密码   免费注册 查看新帖 |

ChinaUnix.net

  平台 论坛 博客 文库 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
楼主: haode009

[其他] Traffic_Server 反向代理 https问题请教!!!!(在线等) [复制链接]

论坛徽章:
0
发表于 2013-01-20 17:02 |显示全部楼层
本帖最后由 haode009 于 2013-01-20 17:17 编辑

需要实现:TS反向代理,客户端通过https访问(需要用到证书),源应用地址是http的访问方式。

目前的网络环境:搭建一台linux5.5虚拟机作为ts服务器IP:192.168.1.172  测试客户端电脑在同一个网络中IP:192.168.1.171

1、目前TS已经实现反向代理的访问;
2、通过openssl生成了CA证书与服务器证书,证书格式都是.pem.对records.config进行了如下配置:
(1)CONFIG proxy.config.ssl.enabled INT 1;
(2)proxy.config.ssl.server.cert.filenameSTRING server.crt.pem  (这条本身配置文件中没有看到,新添加的,服务器证书名)
(3)CONFIG proxy.config.ssl.server.cert.path STRING /home/user/ssl/certs(服务器证书位置)
(4)CONFIG proxy.config.ssl.server.private_key.filename STRING server.pem(服务器证书私钥文件名)
(5)CONFIG proxy.config.ssl.server.private_key.path STRING /home/user/ssl/private(服务器证书私钥位置)
(6)CONFIG proxy.config.ssl.CA.cert.filename STRING ca.crt.pem(根CA证书名)
(7)CONFIG proxy.config.ssl.CA.cert.path STRING /home/user/ssl/certs(根CA证书位置);
proxy.config.ssl.client.certification_level 这项我是选择的1 客户端证书为可选项。

3.目前存在的问题。在remap.config中配置了map https://123.com/     http://www.gdin.edu.cn/,但是从客户端电脑打开https://123.com/就是无法显示该网页。是否还有其他地方需要配置的?TS后台的哪个文件可以对错误情况进行了解?

论坛徽章:
0
发表于 2013-01-20 17:23 |显示全部楼层
前一段时间也搞过SSL,一直没搞通,后来感觉用处不大就不理他了。

论坛徽章:
0
发表于 2013-01-20 17:38 |显示全部楼层
本帖最后由 haode009 于 2013-01-20 19:53 编辑

公司领导安排的任务。。。
llzqq 发表于 2013-01-20 17:23
前一段时间也搞过SSL,一直没搞通,后来感觉用处不大就不理他了。

论坛徽章:
0
发表于 2013-01-21 19:52 |显示全部楼层
1,https 在3.2以及后续版本里做了不少改进(改变),原https是有部分配置可以配置在records.config,新版里全部废掉放到ssl_multicert.config里了
2,CONFIG proxy.config.ssl.enabled INT 1;这个在反向代理里不是最关键的,而监听端口才是最重要的,你应该netstat看看是否已经监听443了,这个配置在3.0->3.2里也有很大变化,一定要看对应版本的records.config:如新版的里有这个:
   # Deprecated.
   # SSL ports should now be configured via proxy.config.http.server_ports
#CONFIG proxy.config.ssl.server_port INT 443

3,如果还有问题,开debug,打https.*|ssl.*看看

论坛徽章:
0
发表于 2013-01-21 21:58 |显示全部楼层
本帖最后由 haode009 于 2013-01-21 22:13 编辑

谢谢您的指教。
我用的是3.2的版本,还有问题请教下:目前443端口已经通了(开启了records.config里面的443端口),但SSL证书的相关配置records.config里面都不涉及了吗?看到ssl_multicert.config里面好像没有证书路径的设置,针对证书需要设置哪些条件?
aaaaaa 发表于 2013-01-21 19:52
1,https 在3.2以及后续版本里做了不少改进(改变),原https是有部分配置可以配置在records.config,新版里 ...

论坛徽章:
0
发表于 2013-01-21 22:29 |显示全部楼层
路径还是records.config里定义的。如果有问题,打开ssl debug看看

论坛徽章:
0
发表于 2013-01-21 22:42 |显示全部楼层
本帖最后由 haode009 于 2013-01-21 23:56 编辑

/var/log/messages下的日志。


Jan 21 22:33:19 localhost traffic_server[7802]: NOTE: --- Server Starting ---
Jan 21 22:33:19 localhost traffic_server[7802]: NOTE: Server Version: Apache Traffic Server - traffic_server - 3.2.0 - (build # 0170 on Jan 17 2013 at 00:22:39)
Jan 21 22:33:19 localhost traffic_server[7802]: {0x4013e5b0} STATUS: opened /usr/local/var/log/trafficserver/diags.log
Jan 21 22:39:23 localhost traffic_manager[7792]: {0xb7f7e6e0} ERROR: [TrafficManager] ==> Cleaning up and reissuing signal #15
Jan 21 22:39:23 localhost traffic_manager[7792]: {0xb7f7e6e0} ERROR:  (last system error 2: No such file or directory)
Jan 21 22:39:23 localhost traffic_manager[7792]: {0xb7f7e6e0} ERROR: [TrafficManager] ==> signal #15
Jan 21 22:39:23 localhost traffic_manager[7792]: {0xb7f7e6e0} ERROR:  (last system error 2: No such file or directory)
Jan 21 22:39:28 localhost traffic_cop[8017]: --- Cop Starting [Version: Apache Traffic Server - traffic_cop - 3.2.0 - (build # 0170 on Jan 17 2013 at 00:23:19)] ---
Jan 21 22:39:28 localhost traffic_cop[8017]: traffic_manager not running, making sure traffic_server is dead
Jan 21 22:39:28 localhost traffic_cop[8017]: cop couldn't chown the file: '/usr/local/var/trafficserver/server.lock' for 'nobody' (99/99) : [2] No such file or directory
Jan 21 22:39:28 localhost traffic_cop[8017]: spawning traffic_manager
Jan 21 22:39:28 localhost traffic_manager[8019]: NOTE: --- Manager Starting ---
Jan 21 22:39:28 localhost traffic_manager[8019]: NOTE: Manager Version: Apache Traffic Server - traffic_manager - 3.2.0 - (build # 0170 on Jan 17 2013 at 00:20:59)
Jan 21 22:39:28 localhost traffic_manager[8019]: NOTE: RLIMIT_NOFILE(7):cur(30000),max(30000)
Jan 21 22:39:28 localhost traffic_manager[8019]: {0xb7fc06e0} STATUS: opened /usr/local/var/log/trafficserver/manager.log
Jan 21 22:39:30 localhost traffic_server[8028]: NOTE: --- Server Starting ---
Jan 21 22:39:30 localhost traffic_server[8028]: NOTE: Server Version: Apache Traffic Server - traffic_server - 3.2.0 - (build # 0170 on Jan 17 2013 at 00:22:39)
Jan 21 22:39:30 localhost traffic_server[8028]: {0x4013e5b0} STATUS: opened /usr/local/var/log/trafficserver/diags.log
aaaaaa 发表于 2013-01-21 22:29
路径还是records.config里定义的。如果有问题,打开ssl debug看看

论坛徽章:
0
发表于 2013-01-21 22:43 |显示全部楼层
本帖最后由 haode009 于 2013-01-21 23:50 编辑

还有ssl_multicert.config 中的dest_ip是需要配置什么的地址?代理服务器本身的还是客户端访问的?

后台/usr/local/var/log/trafficserver下的错误信息:
20130121.22h56m32s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for '202.101.172.22:443/'

20130121.23h45m26s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for '192.168.1.9:443/'
20130121.23h46m04s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for 'talk.google.com:443/'
20130121.23h46m04s RESPONSE: sent 192.168.1.171 status 403 (Tunnel Forbidden) for 'talkx.l.google.com:5222/'
20130121.23h46m11s RESPONSE: sent 192.168.1.171 status 403 (Tunnel Forbidden) for 'talkx.l.google.com:5222/'
20130121.23h46m32s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for 'talk.google.com:443/'
20130121.23h46m32s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for 'mail.google.com:443/'
20130121.23h46m32s RESPONSE: sent 192.168.1.171 status 502 (Tunnel Connection Failed) for 'mail.google.com:443/'

linux 下的dubug https的命令是?
aaaaaa 发表于 2013-01-21 22:29
路径还是records.config里定义的。如果有问题,打开ssl debug看看

论坛徽章:
0
发表于 2013-01-22 09:54 |显示全部楼层
本帖最后由 haode009 于 2013-01-22 13:55 编辑

1、records.config 配置点:
CONFIG proxy.config.reverse_proxy.enabled INT 1
CONFIG proxy.config.http.server_ports STRING 80
CONFIG proxy.config.ssl.server_port INT 443
CONFIG proxy.config.ssl.server.cert.path STRING /home/user/ssl/certs
CONFIG proxy.config.ssl.enabled INT 1

2、ssl_multicert.config 配置点:
dest_ip=192.168.1.172(代理服务器IP)        ssl_cert_name=server4.crt.pem ssl_key_name=server4.pem

3、remap.config配置点:
map https://192.168.1.172/     http://www.gdin.edu.cn/

IE代理设置:IP 192.168.1.172 端口80

论坛徽章:
0
发表于 2013-01-22 13:54 |显示全部楼层
本帖最后由 haode009 于 2013-01-22 15:35 编辑

目前已经调通配置服务器端证书的HTTPS的访问方式。

目前我是在remap.config与ssl_multicert.config都配置用代理服务器IP地址访问https的方式,但是如果代理服务器后面有多个应用系统的话,走反向代理,访问IP该如何配置?

如果配置服务器与客户端证书的双向认证,客户端证书的相关配置还是需要在records.config完成吧?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802020122
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:wangnan@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP