HTTP Server 集群前的负载设备,或内容审计设备等,在处理https的时候,需要用户配置提供证书。
但是考虑到安全问题,HTTP Server并不愿意把证书配置到其他设备上。
这个时候,就有个 keyless SSL方案。
简单的说,如下:
1. client与中间设备建立TCP链接。
2. 中间设备将client的协商秘钥请求转发给server, 将server的秘钥协商回应转发给client。从而完成秘钥协商。
3. server将协商好的“秘钥”提供给中间设备。
4. 中间设备使用“秘钥”完成数据加解密。
参考: https://www.cloudflare.com/ssl/keyless-ssl/