負荷分散環境でSSLをセットアップする方法は?
-
03-07-2019 - |
質問
現在のインフラストラクチャは次のとおりです。
- 共有ロードバランサーの背後にある2つのWebサーバー
- dnsはロードバランサーを指しています
- ウェブアプリはasp.netでwcfサービスを使用して行われます
私の質問は、https接続をサポートするためにSSL証明書を設定する方法です。
ここに私が持っている2つのアイデアがあります:
- SSL証明書はロードバランサーで終了します。ロードバランサーの背後のセキュア/非セキュア通信は2つの異なるポートに転送されます。
長所:水平方向に拡大縮小するときに証明書が1つだけ必要です
短所:リクエストがどのポートであるかを確認することで、安全かどうかを確認する必要があります から来る。私にはまったく感じられません
IISが2つの異なるポートにバインドされている場合、設計上のWCFは機能しません
(これによる)
- 各サーバーでSSL証明書が終了しますか?
短所:証明書を追加して水平に拡張する必要がある
ありがとう
解決
ロードバランサーでSSLを完全に終了します!!!その背後にあるものは、外に見えるべきではありません。セキュア/非セキュア用の2つのポートがうまく機能しないのはなぜですか?
他のヒント
実際には、これ以上証明書は必要ありません。外部から見たFQDNは同じであるため、各マシンで同じ証明書を使用します。
これは、WCF(使用している場合)が機能することを意味します。トランスポートレベルではなくメッセージレベルで署名/暗号化する場合、外部ロードバランサーで終了するSSLを使用したWCFは苦痛です。
おそらく2つのポートは必要ありません。ロードバランサー上のSSL仮想サーバーにリクエストにHTTPヘッダーを追加して、それを確認するだけです。 Zeus ZXTM 5.1で行うことです。
すべてのサイトの証明書を取得するための はありません。ワイルドカード証明書などがあります。ただし、すべてのサーバーにインストールする必要があります。 (サブドメインを使用している場合、そうでない場合は、マシン間で同じ証明書を再利用できます)
しかし、簡単な設定のためだけでなく、おそらくロードバランサーに証明書を配置します。
所属していません StackOverflow