SSL Reverse Proxy

Ein SSL Reverse Proxy ermöglicht es eine bestimmte Webseite über ein bereits vorhandenes Zertifikat über SSL abrufbar zu machen. Beispiel: Ihr habt eine Domain www.kundenshops.de gekauft und für diese ein SSL-Zertifikat gekauft. Jetzt haben Eure Kunden eigene Webshops aufgemacht und fragen Euch, wie sie diese günstig absichern können, damit z.B. Kundendaten verschlüsselt übertragen werden.

Statt jetzt jedem Kunden ein teures SSL-Zertifikat und eine eigene IP-Adresse zu verkaufen, könnt ihr seinen Shop auch per SSL Reverse Proxy absichern. Das bedeutet, dass der Shop des Kunden unter Eurem Zertifikat aufrufbar sein wird, eine URL würde dann z.B. so aussehen: https://www.kundenshops.de/www.mein-autoshop.de oder https://www.kundenshops.de/www.nasenfloetenshop.de.

Wie konfiguriere ich nun meinen Apache, damit das so funktioniert?

• benötigte Module in der Apache-Config aktivieren, unter Debian geht das einfach mit „a2enmod proxy proxy_http“ oder in anderen Distris diese beiden Zeilen in der httpd.conf einkommentieren:

LoadModule  proxy_module         modules/mod_proxy.so
LoadModule  proxy_http_module    modules/mod_proxy_http.so

• nun muss in der Konfiguration des SSL-Vhosts www.kundenshops.de folgendes eingetragen werden:

RewriteRule ^/www.nasenfloetenshop.de$ /www.nasenfloetenshop.de/ [R,L]
ProxyPass /www.nasenfloetenshop.de/ http://www.nasenfloetenshop.de/
<Location /www.nasenfloetenshop.de/>
  ProxyPassReverse /
</Location>

• nach einem „service httpd reload“ steht nun der Inhalt von www.nasenfloetenshop.de SSL gesichert unter der URL https://www.kundenshops.de/www.nasenfloetenshop.de zur Verfügung.

Bei manchen CMS, wie z.B. Wordpress, sind noch Anpassungen in der Konfiguration nötig, da etwa die SITE_URL fest hinterlegt ist und dynamisiert werden muss. Weitere Infos dazu finden sich zuhauf im Netz.

Wie man SSL mit modernen Ciphers und sicher konfiguriert steht in diesem Artikel.