Come impostare SSL in un ambiente con carico bilanciato?
https://stackoverflow.com/questions/818881
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ecco la nostra infrastruttura attuale:
- 2 server Web dietro un bilanciamento del carico condiviso
- dns punta al bilanciamento del carico
- l'app Web viene eseguita in asp.net, con servizi wcf
La mia domanda è come impostare il certificato SSL per supportare la connessione https.
Ecco 2 idee che ho:
- Il certificato SSL termina al bilanciamento del carico. la comunicazione protetta / non sicura dietro il bilanciamento del carico verrà inoltrata a 2 porte diverse.
pro: ho solo bisogno di 1 certificato per il ridimensionamento orizzontale
contro: devo controllare sicuro o non sicuro controllando quale porta è la richiesta proveniente da. non mi sembra giusto per me
WCF in base alla progettazione non funzionerà quando IIS è associato a 2 porte diverse
( secondo questo )
- Il certificato SSL termina su ciascuno dei server?
contro: è necessario aggiungere più certificati per ridimensionare orizzontalmente
grazie
Soluzione
Termina definitivamente SSL al bilanciamento del carico !!! Qualunque cosa dietro NON dovrebbe essere visibile all'esterno. Perché due porte per sicurezza / insicurezza non dovrebbero funzionare bene?
Altri suggerimenti
In realtà non hai bisogno di più certificati. Poiché l'FQDN visto esternamente è lo stesso, si utilizza lo stesso certificato su ogni macchina.
Ciò significa che WCF (se lo stai usando) funzionerà. WCF con SSL che termina con il bilanciamento del carico esterno è doloroso se si sta firmando / crittografando a livello di messaggio anziché a livello di trasporto.
Non hai bisogno di due porte, molto probabilmente. Basta avere il server virtuale SSL sul bilanciamento del carico aggiungere un'intestazione HTTP alla richiesta e verificarlo. È ciò che facciamo con il nostro Zeus ZXTM 5.1.
Non devi avere per ottenere un certificato per ogni sito in cui ci sono cose come i caratteri jolly. Ma dovrebbe essere installato su ogni server. (supponendo che tu stia utilizzando sottodomini, in caso contrario puoi riutilizzare lo stesso certificato tra le macchine)
Ma probabilmente metterei il certificato sul bilanciamento del carico se non solo per motivi di facile configurazione.
