it-swarm.asia

Yük dengeleyicinin arkasındaki her sunucunun kendi SSL sertifikasına ihtiyacı var mı?

Bir yük dengeleyicisinin arkasında (webproxy gibi) 5 web sunucunuz varsa ve bunlar aynı etki alanı için içerik sağlıyorsa, tüm sunucular için SSL sertifikalarına mı ihtiyacınız var yoksa her sunucuda aynı sertifikayı kullanabilir misiniz?

Tüm SSL isteklerini belirli bir sunucuya koyabileceğinizi biliyorum, ancak bu, dağıtılmış oturum bilgileri gerektirir ve bunun gelmemesini umar.

67
Derek Gathright

Yük dengeleyicinin arkasında 5 web sunucunuz varsa (...) tüm sunucular için SSL sertifikalarına ihtiyacınız var mı,

Değişir.

Yük dengelemenizi TCP veya IP katmanında (OSI katmanı 4/3, a.k.a L4, L3)) yaparsanız, evet, tüm HTTP sunucularının SSL sertifikasının yüklü olması gerekir.

HTTPS katmanına (L7) denge yüklerseniz, sertifikayı yalnızca yük dengeleyicisine yükler ve yük dengeleyici ile web sunucuları arasındaki yerel ağ üzerinden düz şifrelenmemiş HTTP kullanırsınız ( web sunucuları).

büyük kurulumunuz varsa, Internet -> L3 yük dengeleme -> L7 SSL yoğunlaştırıcılar katmanı -> yük dengeleyiciler -> katman yapıyor olabilirsiniz L7 HTTP uygulama sunucularının listesi ...

HAProxy'nin yazarı Willy Tarreau, HTTP/HTTPS dengeleme kurallı yük yolları hakkında gerçekten güzel bir genel bakışa sahiptir.

Her sunucuya bir sertifika yüklerseniz, bunu destekleyen bir sertifika aldığınızdan emin olun. Sunucuların tümü yalnızca bir Tam Nitelikli Etki Alanı Adı için trafik sunduğu sürece normal olarak sertifikalar birden çok sunucuya yüklenebilir. Ancak ne satın aldığınızı doğrulayın, sertifika yayıncılarının kafa karıştırıcı bir ürün portföyü olabilir ...

69
Jesper M

Her sunucuda aynı sertifikayı kullanabilmeniz gerekir. Web siteniz www.gathright.com ise, bu FQDN için bir sertifika satın alabilmelisiniz. Ardından, dengeleyicinin arkasındaki 5 sunucunuzun her birine yüklersiniz.

Alternatif olarak, her web sunucusu için ayrı bir sertifika alabilirsiniz, ancak "Konu Alternatif Adı" olarak "www.gathright.com" ifadesini dahil edebilirsiniz; bu, 5 sertifikanın her birinin SSL için olduğu kadar SSL için de geçerli olacağı anlamına gelir. belirli sunucu FQDN'lerine.

16
Ryan Fisher

YES , bir yük dengeleyicisinin veya yük dengeleme ters proxy'sinin arkasındaysa ve varsa, tüm sunucularınızda aynı sertifikayı ve ilişkili özel anahtarı kullanabilirsiniz. hepsi aynı alan adı için içerik sunuyor.

Sertifikalar, bir sertifika yetkilisi tarafından imzalandığında, sertifika yetkilisinin sertifikada listelenen adını doğruladığını iddia eder. Web siteleri için sertifikalar, web sitesinin alan adı anlamına gelir. Tarayıcınız konuştuğu sunucunun, HTTPS üzerinden konuşuyorsa, tarayıcının etki alanı adıyla aynı adı içeren bir sertifika sunmasını bekler konuştuğunu düşünüyor. (Örneğin, VeriSign'ın Hacker Joe'nun bankofamerica.com sertifikasını imzalaması olası değildir. Bu nedenle Hacker Joe, bankofamerica.com ile bankofamerica.com arasındaki trafiği durdurmayı başarsa bile, Hacker Joe'nun bankofamerica.com ve tarayıcınız için imzalı bir sertifikası olmayacaktır. her yere büyük kırmızı uyarı bayrakları koyacaktır.)

Önemli olan, sertifikadaki adının tarayıcının konuştuğunu düşündüğü alan adıyla eşleşmesidir. Bir yük kümesinin arkasında oldukları sürece, bir web kümesindeki birden çok web sunucusunda doğru adı taşıyan aynı sertifikayı (ilişkilendirilmiş özel anahtarla) kullanabilirsiniz.

SSL sonlandırmalı bir yük dengeleyici de kullanabilirsiniz, bu durumda yük dengeleyicisinde sertifikayı (ilişkili özel anahtarla birlikte) kullanırsınız ve web sunucuları, hiçbir şeyleri olmayacakları için sertifikalara ihtiyaç duymazlar SSL.

12
yfeldblum

Kurulumumuz çok iyi çalıştı:

https trafic
     |
   pound
     |
http traffic
     |
  haproxy
     |
http traffic 
     |
web server 1 ... web server n

Bu şekilde kiloluk trafiğin şifresini çözer, buradan her şey düz http. Avantajları: Web sunucularında daha az yapılandırma, her iş için bir araç. Pound makinesindeki CPU'yu maksimum seviyeye çıkarabilir ve web sunucularını "normal" tutabilirsiniz. Çalışma süresi önemliyse, her biri için en az iki tane (pound, haproxy, web sunucuları) almalısınız.

6
jotango

AFAIR, her sunucuda aynı sertifikayı kullanabilirsiniz. Ayrıca bir SSL hızlandırıcı uygulayabilir ve tüm SSL trafiğini yükleyebilirsiniz.

3
joeqwerty