Nginx SSL-сертификат балансировки нагрузки

Question

Я совершенно новичок в NGINX.

Я хотел бы использовать бесплатную версию (не nginx plus) для балансировки нагрузки (обратный прокси-сервер) между 3 серверами, и соединение должно быть SSL / 443.

Нужно ли ставить сертификат SSL на * 1007? * сервер балансировки нагрузки или я должен поставить 3 сертификата SSL на 3 веб-сервера по отдельности? Я слышал смешанные отзывы. Я ищу лучшее исполнение.

Дополнительная информация: я использую сертификат SSL с подстановочными знаками, а другие веб-серверы являются IIS с IP_Ha sh для хранения сеансов на тех же веб-серверах.

Answer 1

Снова откройте файл конфигурации для редактирования.

sudo nano /etc/nginx/conf.d/load-balancer.conf

Затем добавьте следующий сегмент сервера в конец файла.

server {
   listen 443 ssl;
   server_name domain_name;
   ssl_certificate /etc/letsencrypt/live/domain_name/cert.pem;
   ssl_certificate_key /etc/letsencrypt/live/domain_name/privkey.pem;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

   location / {
      proxy_pass http://backend;
   }
}

Затем сохраните файл, выйдите из редактора. и перезапустите nginx еще раз.

sudo systemctl restart nginx

При включенном HTTPS у вас также есть возможность включить шифрование для всех соединений с вашим балансировщиком нагрузки

server {
   listen 80;
   server_name domain_name;
   return 301 https://$server_name$request_uri;

   #location / {
   #   proxy_pass http://backend;
   #}
}

Сохраните файл снова после Вы внесли изменения. Затем перезапустите nginx.

sudo systemctl restart nginx

Answer 2

Этот вопрос уже задавался в сети StackExchange, но я все равно попытаюсь ответить на ваш вопрос.

Влияние на производительность должно быть заметным, но оно действительно зависит от того, что вы используете.

Одна вещь, которую следует рассмотреть при использовании нескольких сертификатов, заключается в том, что, как только запрос попадает на балансировщик нагрузки, он остается защищенным внутри центра обработки данных / сети.

Это полезно, если вы этого не делаете владеет оборудованием и не имеет физического доступа к машинам / датацентру. Это связано с тем, что, вероятно, несколько пользователей работают с серверами и приложениями в общем пространстве, и вы не можете точно знать, кто-то в этой сети слоняется вокруг и наблюдает за трафиком c. Вы просто не можете быть уверены, что этого не произойдет.

Использование только одного сертификата (для балансировщика нагрузки) называется «Разгрузка SSL», и вы можете и должны узнать об этом здесь:

• https://security.stackexchange.com/questions/30403/should-ssl-be-terminated-at-a-load-balancer
• https://security.stackexchange.com/questions/79672/in-detail-how-does-ssl-offloading-acceleration-termination-work
• Значения производительности SSL
• https://serverfault.com/questions/112547/does-using-ssl-cause-a-significant-performance-hit