¿Cómo configurar SSL en un entorno de carga equilibrada?

StackOverflow https://stackoverflow.com/questions/818881

Pregunta

Aquí está nuestra infraestructura actual:

  1. 2 servidores web detrás de un equilibrador de carga compartido
  2. dns está apuntando al equilibrador de carga
  3. la aplicación web se realiza en asp.net, con servicios wcf

Mi pregunta es cómo configurar el certificado SSL para admitir la conexión https.

Aquí hay 2 ideas que tengo:

  1. El certificado SSL termina en el equilibrador de carga. La comunicación segura / no segura detrás del equilibrador de carga se reenviará a 2 puertos diferentes.
    pro: solo necesito 1 certificado cuando escalo horizontalmente
    contras: Tengo que verificar que sea seguro o no seguro al verificar en qué puerto está la solicitud procedente de. no me siento bien para mi

    WCF por diseño no funcionará cuando IIS esté enlazado a 2 puertos diferentes
    ( de acuerdo con esto )

  2. ¿El certificado SSL termina en cada uno de los servidores?
    contras: es necesario agregar más certificados para escalar horizontalmente

gracias

¿Fue útil?

Solución

Definitivamente termina SSL en el balanceador de carga !!! Cualquier cosa detrás de eso NO debe ser visible afuera. ¿Por qué no funcionan bien dos puertos para seguridad / inseguridad?

Otros consejos

En realidad no necesitas más certificados. Debido a que el FQDN visto externamente es el mismo, utiliza el mismo certificado en cada máquina.

Esto significa que WCF (si lo estás usando) funcionará. WCF con SSL que termina en el balanceador de carga externo es doloroso si está firmando / cifrando a nivel de mensaje en lugar de a nivel de transporte.

No necesita dos puertos, muy probablemente. Simplemente haga que el servidor virtual SSL en el equilibrador de carga agregue un encabezado HTTP a la solicitud y verifique eso. Es lo que hacemos con nuestro Zeus ZXTM 5.1.

Usted no tiene para obtener un certificado para cada sitio, hay cosas tales como certificados de comodines. Pero tendría que estar instalado en cada servidor. (suponiendo que está utilizando subdominios, si no puede reutilizar el mismo certificado en todas las máquinas)

Pero probablemente pondría el certificado en el equilibrador de carga si no fuera solo por una configuración fácil.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top