Comment configurer SSL dans un environnement à charge équilibrée?
https://stackoverflow.com/questions/818881
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Voici notre infrastructure actuelle:
- 2 serveurs Web derrière un équilibreur de charge partagé
- dns pointe vers l'équilibreur de charge
- l'application Web est créée sur asp.net, avec les services wcf
Ma question est de savoir comment configurer le certificat SSL pour prendre en charge la connexion https.
Voici deux idées que j'ai:
- Le certificat SSL se termine à l'équilibreur de charge. la communication sécurisée / non sécurisée derrière l'équilibreur de charge sera transmise à 2 ports différents.
pro: n'a besoin que d'un certificat car je fais évoluer mon horizon horizontalement
inconvénients: je dois vérifier sécurisé ou non sécurisé en vérifiant le port de la demande. provenir de. ne me sent pas tout à fait à l'aise
WCF de par sa conception ne fonctionnera pas si IIS est lié à 2 ports différents
( selon cela )
- Le certificat SSL se termine sur chacun des serveurs?
inconvénients: besoin d'ajouter davantage de certificats pour pouvoir évoluer horizontalement
merci
La solution
Terminez définitivement SSL sur l'équilibreur de charge !!! Tout ce qui se cache derrière ne devrait PAS être visible à l'extérieur. Pourquoi deux ports pour le travail sécurisé / non sécurisé ne fonctionneraient-ils pas correctement?
Autres conseils
Vous n’avez en fait pas besoin de plus de certificats. Le nom de domaine complet vu de l'extérieur étant identique, vous utilisez le certificat identique sur chaque ordinateur.
Cela signifie que WCF (si vous l’utilisez) fonctionnera. WCF avec SSL s’arrêtant sur l’équilibreur de charge externe est pénible si vous vous connectez / chiffrez au niveau du message plutôt qu’au niveau du transport.
Vous n'avez probablement pas besoin de deux ports. Il suffit que le serveur virtuel SSL de l'équilibreur de charge ajoute un en-tête HTTP à la demande et le vérifie. C’est ce que nous faisons avec notre Zeus ZXTM 5.1.
Vous n'avez pas besoin d'obtenir un certificat pour chaque site contenant des certificats génériques. Mais il devrait être installé sur tous les serveurs. (en supposant que vous utilisez des sous-domaines, sinon vous pouvez réutiliser le même certificat sur plusieurs ordinateurs)
Mais je mettrais probablement la certification sur l'équilibreur de charge, si ce n'est que pour simplifier la configuration.
