如何在负载平衡环境中设置SSL？

Question

以下是我们当前的基础设施：

1. 共享负载均衡器后面的2个Web服务器
2. dns指向负载均衡器
3. 网络应用程序在asp.net中完成，使用wcf服务

我的问题是如何设置SSL证书以支持https连接。

我有两个想法：

1. SSL证书在负载均衡器处终止。负载均衡器后面的安全/不安全通信将被转发到2个不同的端口 亲：只需要1个证书，因为我可以横向缩放
   缺点：我必须通过检查请求的端口来检查安全性或不安全性 来自（哪里。对我不太感觉
   
   当IIS绑定2个不同的端口时，WCF的设计将不起作用 （根据此）
   
   
2. SSL证书终止于每个服务器？
   缺点：需要添加更多证书才能横向扩展

感谢

Answer 1

在负载均衡器上绝对终止SSL！外面的任何东西都不应该在外面可见。为什么安全/不安全的两个端口不能正常工作？

Answer 2

根本不需要更多证书。由于外部看到的FQDN相同，因此您在每台计算机上使用相同证书。

这意味着WCF（如果您正在使用它）将起作用。如果您在消息级别而不是传输级别进行签名/加密，那么在外部负载均衡器上终止SSL的WCF会很痛苦。

Answer 3

您最不可能需要两个端口。只需在负载均衡器上安装SSL虚拟服务器，就可以在请求中添加HTTP标头并进行检查。这就是我们用Zeus ZXTM 5.1做的事情。

Answer 4

您没有 拥有 来获取每个站点的证书，例如通配符证书。但它必须安装在每台服务器上。 （假设您正在使用子域，如果没有，那么您可以跨机器重用相同的证书）

但是，如果不是为了便于配置，我可能会将证书放在负载均衡器上。