.png)
Wahrscheinlich übersehe ich etwas ganz Grundlegendes, aber ich versuche schon seit einiger Zeit, einen Apache-Server (der eine WordPress-Site bedient) mit einem DigitalOcean Load Balancer für SSL zu konfigurieren.
Der Load Balancer soll das Zertifikat besitzen und den HTTP-Zugriff über Port 80 auf HTTPS 443 umleiten. Das Problem besteht darin, dass Apache mit einer 400 und dieser Zeichenfolge „\x16\x03\x01“ antwortet.
Meiner Untersuchung zufolge (ich kann mich irren, korrigieren Sie mich gern) liegt dies daran, dass Apache versucht, einen SSL-Handshake durchzuführen. Dafür muss ich die Direktive SSLEngine aktivieren. Wenn ich dies tue, erhalte ich jedoch die Fehlermeldung „Die Konfiguration von mindestens einem Zertifikat und Schlüssel für <my_domain>:443 ist fehlgeschlagen.“
Ich glaube, ich verstehe dies so, weil ich die Anweisungen SSLCertificateFile und SSLCertificateKeyFile nicht hinzufüge. Ich hatte erwartet, dass das Zertifikat vom Load Balancer gelesen wird, aber das ist anscheinend nicht der Fall und ich finde in der Apache-Dokumentation keine Anweisung, die mir dies erlaubt.
Im Internet findet man viel darüber, wie man Apache als Reverse-Proxy einrichtet, aber ich konnte nichts über die Verbindung von einem Proxy/Load Balancer finden.
Ich bin für jede Hilfe dankbar, die Sie mir geben können. Ich füge hier einige Screenshots hinzu, um die Situation zu verdeutlichen.
Apache-Fehler
Load Balancer-Konfiguration
SSL-Konfigurationsdatei
Standardkonfigurationsdatei
Antwort1
Ich habe es geschafft, es zum Laufen zu bringen, indem ich in Apache ein selbstsigniertes Zertifikat hinzugefügt habe. Ich bin nicht sicher, ob das die beste oder eleganteste Methode ist, aber es ist die einzige, die ich kenne, die es mir ermöglicht, das Balancer-Zertifikat für die Clients aufzubewahren (was ich will, also erneuert DO es automatisch) und es nicht erneut auf dem Server konfigurieren zu müssen.
Meines Wissens nach stellt dies kein Sicherheitsproblem dar, da die Kommunikation zwischen LB und Server über ein VPC erfolgt und selbst mit einem selbstsignierten Zertifikat immer noch mit SSL verschlüsselt ist.
Wenn jemand Verbesserungsvorschläge hat, ist er willkommen. Ich poste dies nur für den Fall, dass es in Zukunft jemandem hilft.