Como configurar SSL em um ambiente com balanceamento de carga?
https://stackoverflow.com/questions/818881
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Aqui está a nossa infra-estrutura atual:
- 2 servidores web atrás de um balanceador de carga compartilhada
- dns está a apontar para o balanceador de carga
- aplicativo web é feito em asp.net, com serviços WCF
A minha pergunta é como configurar o certificado SSL para apoiar https conexão.
Aqui estão 2 idéias que eu tenho:
- termina certificado SSL no balanceador de carga. garantir / comunicação não segura por trás do balanceador de carga será encaminhada para 2 portas diferentes.
pro: só precisa de 1 certificado como eu escalar horizontalmente
contras: eu tenho que verificar seguro ou não seguro por verificação de qual porta o pedido é vindo de. não chega a sentir-me
WCF por design não vai funcionar quando o IIS é binded 2 portas diferentes
( de acordo com este )
- Certificado SSL termina em cada uma do servidor?
contras: necessidade de adicionar mais certificados para escalar horizontalmente
graças
Solução
Definitivamente terminar SSL no balanceador de carga !!! Nada para trás que não deve ser visível fora. Por que não duas portas para o trabalho seguro / inseguro apenas multa?
Outras dicas
Você não precisa realmente mais certificados de todo. Porque o FQDN visto externamente é o mesmo que você use o mesma certificado em cada máquina.
Isto significa que WCF (se você estiver usando ele) irá funcionar. WCF com a terminação SSL no balanceador de carga externa é doloroso se você está assinando / criptografando a um nível de mensagem em vez de um nível de transporte.
Você não precisa de duas portas, o mais provável. Basta ter o servidor virtual SSL no balanceador de carga adicionar um cabeçalho HTTP para a solicitação e verificar para isso. É o que fazemos com o nosso Zeus ZXTM 5.1.
Você não Have para obter um cert para cada local há coisas tais como certificados curinga. Mas teria que ser instalado em cada servidor. (Supondo que você está usando subdomínios, se não, então você pode reutilizar o mesmo cert através das máquinas)
Mas eu provavelmente colocar o cert no balanceador de carga se não apenas por uma questão de fácil configuração.
