Поддержка SSL с Apache и Proxytunnel
Я в строгой корпоративной среде. трафик HTTPS выходит через внутренний прокси (для этого примера, который это 10.10.04.33:8443), это достаточно умно заблокировать ssh'ing непосредственно к ssh.glakspod.org:443.
Я могу выйти через proxytunnel. Я настроил apache2 VirtualHost в ssh.glakspod.org:443 таким образом:
ServerAdmin ssh@orly.glakspod.org ServerName ssh.glakspod.org
<!-- Proxy Section -->
<!-- Used in conjunction with ProxyTunnel -->
<!-- proxytunnel -q -p 10.10.04.33:8443 -r ssh.glakspod.org:443 -d %host:%port -->
ProxyRequests on
ProxyVia on
AllowCONNECT 22
<Proxy *>
Order deny,allow
Deny from all
Allow from 74.101
</Proxy>
Пока все хорошо: Я поразил прокси Apache ПОДКЛЮЧЕНИЕМ, и затем PuTTY и мой ssh сервер обмениваются рукопожатием, и я прочь к гонкам.
Существуют, однако, две проблемы с этой установкой:
Внутренний прокси-сервер может осуществить сниффинг моего запроса ПОДКЛЮЧЕНИЯ и также видеть, что квитирование SSH происходит. Я хочу, чтобы все соединение между моим рабочим столом и ssh.glakspod.org:443 было похоже на Трафик HTTPS, неважно, как тесно внутренний прокси осматривает его.
Я не могу заставить VirtualHost быть обычным https сайтом при проксировании. Я хотел бы, чтобы прокси сосуществовал с чем-то вроде этого: SSLEngine на SSLProxyEngine на SSLCertificateFile/path/to/ca/samapache.crt SSLCertificateKeyFile/path/to/ca/samapache.key SSLCACertificateFile/path/to/ca/ca.crt
DocumentRoot /mnt/wallabee/www/html <Directory /mnt/wallabee/www/html/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> <!-- Need a valid client cert to get into the sanctum --> <Directory /mnt/wallabee/www/html/sanctum> SSLVerifyClient require SSLOptions +FakeBasicAuth +ExportCertData SSLVerifyDepth 1 </Directory>
Таким образом, мой вопрос: Как я включаю поддержку SSL на ssh.glakspod.org:443 VirtualHost, который будет работать с ProxyTunnel?
Я попробовал различные комбинации-e proxytunnel,-E, и флаги-X без любой удачи.
Единственным выводом, который я нашел, является Ошибка Apache № 29744, но я не смог найти патч, который установит чисто на 2.2.11-2ubuntu2.6 версии Apache Jaunty Ubuntu.
Заранее спасибо.
1 ответ
Я соединил ответ из proxytunnel-пользовательского списка рассылки.
Во-первых, смотря на Apache bugreport номер 29744, вложение, содержащее патч для моей версии Apache, 2.2.11-2ubuntu2.6, было скрыто, потому что это считали устаревшим. При нажатии на "Шоу Устаревшая" ссылка в нижнем правом углу поля вложений показала патч.
Таким образом, я сделал Кв. - получают источник apache2 на моем бойком поле, исправил источник, сделал debuild... съел некоторые хлопья... и затем сделал dpkg-i *.deb на всем, что я создал.
Теперь те два отдельных отрывка Apache выше сосуществуют в гармонии.
Последняя часть загадки - то, как назвать proxytunnel. Вот то, что работало:
proxytunnel-q-X-p 10.10.04.33:8443-r ssh.glakspod.org:443-d %host: порт ServerAliveInterval % 30
Надежда это помогает кому-то еще по линии!