Как настроить SSL в среде с балансировкой нагрузки?
https://stackoverflow.com/questions/818881
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Вот наша текущая инфраструктура:
- 2 веб-сервера за общим балансировщиком нагрузки
- dns указывает на балансировщик нагрузки
- веб-приложение создается в asp.net с помощью служб wcf
Мой вопрос заключается в том, как настроить SSL-сертификат для поддержки https-соединения.
Вот 2 идеи, которые у меня есть:
- SSL-сертификат завершает работу в подсистеме балансировки нагрузки.безопасная / незащищенная связь за балансировщиком нагрузки будет перенаправлена на 2 разных порта.
профессиональный: при горизонтальном масштабировании мне нужен только 1 сертификат
минусы: Я должен проверить защищен или небезопасен, проверив, с какого порта поступает запрос .по-моему, это не совсем правильно
WCF по замыслу не будет работать, когда IIS привязан к двум разным портам
(в соответствии с этим) - Срок действия SSL-сертификата заканчивается на каждом из серверов?
минусы: нужно добавить больше сертификатов для масштабирования по горизонтали
Спасибо
Решение
Обязательно завершите работу SSL в балансировщике нагрузки!!!Все, что находится за этим, НЕ должно быть видно снаружи.Почему бы двум портам для безопасного / небезопасного не работать просто отлично?
Другие советы
На самом деле вам вообще не нужно больше сертификатов.Поскольку внешне видимое полное доменное имя такое же, вы используете то же самое сертификат на каждой машине.
Это означает, что WCF (если вы его используете) будет работать.WCF с завершением SSL на внешнем балансировщике нагрузки является болезненным, если вы подписываете / шифруете на уровне сообщений, а не на транспортном уровне.
Скорее всего, вам не нужны два порта.Просто попросите виртуальный сервер SSL на балансировщике нагрузки добавить HTTP-заголовок к запросу и проверить это.Это то, что мы делаем с нашим Zeus ZXTM 5.1.
Ты этого не делаешь иметь чтобы получить сертификат для каждого сайта, существуют такие вещи, как сертификаты с подстановочными знаками.Но это должно было бы быть установлено на каждом сервере.(предполагая, что вы используете поддомены, если нет, то вы можете повторно использовать один и тот же сертификат на разных машинах)
Но я бы, вероятно, поместил сертификат на балансировщик нагрузки, если бы не просто ради удобства настройки.
