Re: Mutual authentication средствами nginx

[Kostya Alexandrov]

Если сертификат один для всех, то stunnel конфиг будет один, если разные 
то опять же  один stunnel и адских размеров конфиг. Если для каждого 
сайта свой сертификат, он должен быть пописан в конфиге nginx. Т.е. в 
любом случае все превращается в ночной кошмар.
"Научить админку" - верный вариант, никакого layering violation нет.  
Здравый смысл  violation решать вебсервером не свойственные ему задачи. 
Плюс, подумайте о ресурсах. Если админка научится ходить по https - то 
это одно соединение, если ходит через  nginx то как минимум два. Если 
через nginx - то как минимум nginx должен держать все ваши сотни 
сертификатов впамяти, или грузить их по необходимости, зная какой где и 
зачем. Это полный overkill. Самый врный вариант работы с удалнными 
сервисами с защитой соединения это VPN, Вы подумайте сами во что 
превращается каждый вызов по https в Вашем случае, один хендшейк будет 
стоит как сотни плейн вызовов.

ЗЫ
Сорри за оффтоп.

On 23.01.14, 15:08, Gena Makhomed wrote:
> Вместо того, чтобы для каждого сайта создавать свою админку,
> цеплять к ней SSL-сертификат, - проще и удобнее сделать всего
> одну админку, куда будут заходить пользователи по https,
> и там они смогут управлять своими сайтами. А сами сайты:
>
> www.example.com - сюда ходят пользователи сайта
> api.example.com - сюда ходит админка с Mutual authentication
>
> Сейчас - сайтов десятки, потом может быть сотни и тысячи.
> И что делать, настраивать и поддерживать в живом состоянии
> сотни и тысячи stunnel`ей? Каждому выделяя свой отдельный
> порт на стороне контейнера с админкой? Это будет nightmare.
> Практически это нереальный вариант. Наверное придется таки
> идти на layering violation и обучать админку делать https-
> запросы с предъявлением клиентского сертификата через curl.