嘿，我来帮你解决这个反向代理的TLS证书问题～

你当前的配置思路是对的，但Apache作为反向代理去连接后端HTTPS服务时，确实需要正确处理后端证书的验证逻辑。你提到的“Apache期望a.my.tld的证书而非b的”，应该是混淆了前端服务证书和后端验证逻辑——a的证书是给访问a.my.tld的用户看的，而Apache作为客户端连接b.my.tld时，需要验证的是b的证书是否合法且匹配b.my.tld。

给你几个关键的配置调整和排查方向：

• 必须开启SSL代理引擎：在你的反向代理配置块里，一定要加上SSLProxyEngine on，这是Apache处理HTTPS反向代理的基础开关，没有它的话，代理HTTPS请求会出各种奇怪的问题。

• 明确证书验证规则：虽然默认情况下Apache会验证后端证书的主机名匹配，但有时候明确配置能避免歧义，你可以在配置里加上这两行（默认是开启的，但写出来更清晰）：

  • SSLProxyCheckPeerCN on：确保后端证书的CN字段和b.my.tld一致
  • SSLProxyCheckPeerName on：验证证书的SAN扩展里包含b.my.tld（现在主流证书都用SAN，这个更全面）

• 完整配置示例：把这些整合到你的VirtualHost配置里，大概是这样：

  <VirtualHost *:443>
      ServerName a.my.tld
  
      # 这里是a.my.tld自身的SSL证书配置，给前端用户访问用的
      SSLCertificateFile /path/to/a.my.tld.crt
      SSLCertificateKeyFile /path/to/a.my.tld.key
  
      # 开启SSL代理并配置验证规则
      SSLProxyEngine on
      SSLProxyCheckPeerCN on
      SSLProxyCheckPeerName on
  
      # 反向代理规则
      ProxyPass / https://b.my.tld/
      ProxyPassReverse / https://b.my.tld/
  </VirtualHost>
  

• 排查证书信任问题：如果b.my.tld的证书是内部CA签发的（不是公共信任的CA），那Apache默认的信任库不认识它，这时候你需要指定信任的CA证书：

  SSLProxyCACertificateFile /path/to/your/internal-ca-root.crt
  

如果还是有问题，建议去看Apache的错误日志（一般在/var/log/apache2/error.log），里面会有具体的错误信息，比如“证书主机名不匹配”或者“无法验证证书链”，根据日志就能精准解决问题啦～

备注：内容来源于stack exchange，提问作者philipp