Wie SSL in einem Lastenausgleich Umgebung einzurichten?
https://stackoverflow.com/questions/818881
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Hier ist unsere aktuelle Infrastruktur:
- 2 Webserver hinter einem gemeinsamen Lastenausgleich
- dns ist mit dem Load-Balancer zeigt
- Web-App wird in asp.net gemacht, mit WCF-Dienste
Meine Frage ist, wie das SSL-Zertifikat einrichten, um https-Verbindung zu unterstützen.
Hier sind zwei Ideen, die ich habe:
- SSL-Zertifikat endet an dem Load-Balancer. secure / unsichere Kommunikation hinter dem Load Balancer auf 2 verschiedene Ports weitergeleitet werden.
pro: müssen nur 1 Zertifikat als ich horizontal
maßstabs Nachteile: Ich habe sicher zu überprüfen oder nicht sichern, indem geprüft, welcher Port die Anforderung kommen von. fühlt sich nicht ganz richtig zu mir
WCF von Design wird nicht funktionieren, wenn IIS binded 2 verschiedene Ports
( nach diesem )
- SSL-Zertifikat endet auf jedem der Server?
Nachteile: müssen mehr Zertifikate hinzufügen horizontal skalieren
Dank
Lösung
Auf jeden Fall SSL an der Load Balancer beenden !!! Alles, was hinter dem sollte nicht sichtbar außerhalb sein. Warum sollte nicht zwei Ports für den sicheren / unsicheren gut funktionieren?
Andere Tipps
Sie eigentlich gar nicht mehr Zertifikate benötigen überhaupt. Da die von außen gesehen FQDN das gleiche verwenden Sie das gleiche Zertifikat auf jeder Maschine.
Das bedeutet, dass WCF (wenn Sie es verwenden) funktioniert. WCF mit dem SSL-Abschluss auf dem externen Load-Balancer ist schmerzhaft, wenn Sie Unterzeichnung / bei einer Nachrichtenebene Verschlüsselung anstelle einer Transportebene.
Sie brauchen nicht zwei Ports, am wahrscheinlichsten. Gerade haben die SSL virtuellen Server auf dem Load Balancer einen HTTP-Header der Anforderung hinzufügen und für das überprüfen. Es ist, was wir tun, mit unserem Zeus ZXTM 5.1.
Sie müssen nicht wurde ein CERT für jeden Standort zu bekommen es so etwas wie Wildcard certs sind. Aber es würde auf jedem Server installiert werden. (Vorausgesetzt, Sie Sub-Domains verwenden, wenn nicht, dann können Sie das gleiche Zertifikat über Maschinen wiederverwenden)
Aber ich würde wahrscheinlich das CERT für den Lastenausgleich setzen, wenn nicht nur aus Gründen der einfachen Konfiguration.
