負荷分散環境でSSLをセットアップする方法は？

Question

現在のインフラストラクチャは次のとおりです。

1. 共有ロードバランサーの背後にある2つのWebサーバー
2. dnsはロードバランサーを指しています
3. ウェブアプリはasp.netでwcfサービスを使用して行われます

私の質問は、https接続をサポートするためにSSL証明書を設定する方法です。

ここに私が持っている2つのアイデアがあります：

1. SSL証明書はロードバランサーで終了します。ロードバランサーの背後のセキュア/非セキュア通信は2つの異なるポートに転送されます。
   長所：水平方向に拡大縮小するときに証明書が1つだけ必要です
   短所：リクエストがどのポートであるかを確認することで、安全かどうかを確認する必要があります から来る。私にはまったく感じられません
   
   IISが2つの異なるポートにバインドされている場合、設計上のWCFは機能しません
   （これによる）
   
   
2. 各サーバーでSSL証明書が終了しますか？
   短所：証明書を追加して水平に拡張する必要がある

ありがとう

Answer 1

ロードバランサーでSSLを完全に終了します!!!その背後にあるものは、外に見えるべきではありません。セキュア/非セキュア用の2つのポートがうまく機能しないのはなぜですか？

Answer 2

実際には、これ以上証明書は必要ありません。外部から見たFQDNは同じであるため、各マシンで同じ証明書を使用します。

これは、WCF（使用している場合）が機能することを意味します。トランスポートレベルではなくメッセージレベルで署名/暗号化する場合、外部ロードバランサーで終了するSSLを使用したWCFは苦痛です。

Answer 3

おそらく2つのポートは必要ありません。ロードバランサー上のSSL仮想サーバーにリクエストにHTTPヘッダーを追加して、それを確認するだけです。 Zeus ZXTM 5.1で行うことです。

Answer 4

すべてのサイトの証明書を取得するための はありません。ワイルドカード証明書などがあります。ただし、すべてのサーバーにインストールする必要があります。 （サブドメインを使用している場合、そうでない場合は、マシン間で同じ証明書を再利用できます）

しかし、簡単な設定のためだけでなく、おそらくロードバランサーに証明書を配置します。