nginx est un serveur http, à la base...
Fortinet a un load balancer (FortiADC) qui fait du SSL offload et supporte SNI.
Ca existe au format virtuel.
my 2 cents
Le 06/12/2017 à 17:04, Julien Escario a écrit :
Bonjour la liste, Nous sommes en train de 'rêver' à un joli reverse proxy pour les connexions IMAP, POP (hum) et SMTP avec du ssl offloading et toussa.
L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 pour imap.domaine1.com, imap.domaine2.com, etc ... Le tout en présentant un certificat valide pour chaque domaine et ça, s'appelle SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du protocole.
Je prends les devants : nous ne souhaitons pas avec un gros certificat qui comprenne tous les vhosts.
SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), tous les browser modernes le supportent.
Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble pas vraiment supporté : impossible de déclarer deux vhosts qui écoutent sur le port 993, ca gère un conflit : nginx: [emerg] duplicate "993" address and port pair
Nginx tout frais : nginx version: nginx/1.13.6
Aucune doc là dessus chez Nginx, du coup la question : est-ce que quelqu'un a une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un module 'custom' qu'on veut bien compiler, tester de debugger.
Sinon, Haproxy semble le faire et on investira le temps nécessaire à l'apprentissage.
Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ? OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une idée du support en IMAP.
Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?
Merci d'avance ! Julien _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/