Как настроить SSL в среде с балансировкой нагрузки? - PullRequest
Новая
       40

Как настроить SSL в среде с балансировкой нагрузки?

7 голосов
/ 04 мая 2009

Вот наша текущая инфраструктура:

  1. 2 веб-сервера за распределенным балансировщиком нагрузки
  2. днс указывает на балансировщик нагрузки
  3. веб-приложение сделано в asp.net, с сервисами wcf

У меня вопрос, как настроить SSL-сертификат для поддержки соединения https.

Вот две идеи, которые у меня есть:

  1. Сертификат SSL заканчивается на балансировщике нагрузки. Защищенная / незащищенная связь за балансировщиком нагрузки будет перенаправлена ​​на 2 разных порта.
    pro: нужен только 1 сертификат, так как я масштабируюсь горизонтально
    минусы: Я должен проверить, безопасен или не защищен, проверив, какой порт запрос приходящий из. не совсем правильно для меня

    Дизайн WCF не будет работать, когда IIS привязан к двум разным портам.
    ( в соответствии с этим )

  2. SSL сертификат заканчивается на каждом сервере?
    минусов: необходимо добавить больше сертификатов для горизонтального масштабирования

спасибо

Ответы [ 4 ]

4 голосов
/ 04 мая 2009

Определенно прекратить SSL на балансировщике нагрузки !!! Все, что за этим не должно быть видно снаружи. Почему два порта для безопасной / небезопасной работы не работают нормально?

3 голосов
/ 04 мая 2009

На самом деле вам больше не нужно больше сертификатов. Поскольку внешнее полное доменное имя одно и то же, на каждом компьютере используется одинаковый сертификат.

Это означает, что WCF (если вы его используете) будет работать. WCF с завершением SSL на внешнем балансировщике нагрузки является болезненным, если вы подписываете / шифруете на уровне сообщений, а не на уровне транспорта.

1 голос
/ 04 мая 2009

Скорее всего, вам не нужны два порта. Просто включите виртуальный сервер SSL на балансировщике нагрузки, добавьте в запрос заголовок HTTP и проверьте это. Это то, что мы делаем с нашим Zeus ZXTM 5.1.

0 голосов
/ 04 мая 2009

У вас нет для получения сертификата для каждого сайта, существуют такие вещи, как сертификаты с подстановочными знаками. Но это должно быть установлено на каждом сервере. (при условии, что вы используете субдомены, если нет, то вы можете повторно использовать один и тот же сертификат на разных машинах)

Но я бы, вероятно, поставил сертификат на балансировщик нагрузки, если бы не просто для упрощения настройки.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...