Wenn Sie 5 Webserver hinter einem Load Balancer haben (...), benötigen Sie SSL-Zertifikate für alle Server,
Es hängt davon ab, ob.
Wenn Sie den Lastenausgleich auf der TCP- oder IP-Ebene (OSI-Ebene 4/3, auch bekannt als L4, L3) durchführen, muss auf allen HTTP-Servern das SSL-Zertifikat installiert sein.
Wenn Sie den Lastenausgleich auf der HTTPS - Ebene (L7) durchführen, installieren Sie das Zertifikat normalerweise nur auf dem Load Balancer und verwenden unverschlüsseltes HTTP über das lokale Netzwerk zwischen dem Load Balancer und den Webservern (für eine optimale Leistung auf der HTTPS - Ebene) Webserver).
Wenn Sie über eine umfangreiche Installation verfügen , führen Sie möglicherweise Internet -> L3-Lastenausgleich -> Schicht von L7-SSL-Konzentratoren -> Lastenausgleich -> Schicht von L7-HTTP-Anwendungsservern aus ...
Willy Tarreau, der Autor von HAProxy, hat einen wirklich guten Überblick über die kanonischen Möglichkeiten des Lastausgleichs von HTTP / HTTPS .
Wenn Sie auf jedem Server ein Zertifikat installieren, stellen Sie sicher, dass Sie ein Zertifikat erhalten, das dies unterstützt. Normalerweise können Zertifikate auf mehreren Servern installiert werden, sofern alle Server den Datenverkehr nur für einen vollqualifizierten Domänennamen bereitstellen. Überprüfen Sie jedoch, was Sie kaufen. Zertifikataussteller können ein verwirrendes Produktportfolio haben.
Sie sollten auf jedem Server dasselbe Zertifikat verwenden können. Wenn Ihre Website www.gathright.com lautet, sollten Sie in der Lage sein, ein Zertifikat für diesen FQDN zu erwerben. Dann installieren Sie es auf jedem Ihrer 5 Server hinter dem Balancer.
Alternativ können Sie für jeden Webserver ein separates Zertifikat erhalten. Geben Sie jedoch "www.gathright.com" als "alternativen Antragstellernamen" an, was bedeutet, dass jede der 5 Zertifikate für SSL für diesen allgemeinen FQDN sowie für SSL gültig ist an die spezifischen Server-FQDNs.
quelle
JA , Sie können auf allen Servern dasselbe Zertifikat und denselben zugeordneten privaten Schlüssel verwenden, wenn diese sich hinter einem Load-Balancer oder einem Load-Balancing-Reverse-Proxy befinden und Inhalte für dieselbe Domain bereitstellen.
Zertifikate bestätigen, wenn sie von einer Zertifizierungsstelle signiert wurden, dass die Zertifizierungsstelle den im Zertifikat aufgeführten Namen überprüft hat . Bei Zertifikaten für Websites ist dies der Domainname der Website. Ihr Browser erwartet, dass der Server, mit dem er kommuniziert, bei HTTPS ein Zertifikat mit demselben Namen wie der Domänenname vorlegt, mit dem der Browser kommuniziert. (Beispielsweise ist es unwahrscheinlich, dass VeriSign das Zertifikat von Hacker Joe für bankofamerica.com signiert. Selbst wenn Hacker Joe den Datenverkehr zwischen Ihnen und bankofamerica.com abfängt, verfügt Hacker Joe nicht über ein signiertes Zertifikat für bankofamerica.com und Ihren Browser wird überall große rote Warnflaggen anbringen.)
Entscheidend ist, dass der Name auf dem Zertifikat mit dem Domainnamen übereinstimmt, mit dem der Browser zu sprechen glaubt. Sie können dasselbe Zertifikat (mit zugeordnetem privatem Schlüssel) mit dem korrekten Namen auf mehreren Webservern in einem Webcluster verwenden, sofern diese sich hinter einem Lastenausgleich befinden.
Sie können auch einen SSL-terminierenden Load Balancer verwenden. In diesem Fall würden Sie das Zertifikat (mit dem zugehörigen privaten Schlüssel) auf dem Load Balancer verwenden, und die Webserver würden keine Zertifikate benötigen, da sie nichts damit zu tun hätten die SSL.
quelle
Unser Setup hat sehr gut funktioniert:
Auf diese Weise entschlüsselt Pfund den Verkehr, ab hier ist alles direkt http. Vorteile: Weniger Konfiguration auf den Webservern, ein Tool für jeden Auftrag. Sie können die CPU auf dem Pfund-Rechner maximal ausnutzen und die Webserver "normal" halten. Sie sollten mindestens zwei von jedem (Pfund, Haproxy, Webserver) erhalten, wenn die Verfügbarkeit wichtig ist.
quelle
AFAIR können Sie auf jedem Server das gleiche Zertifikat verwenden. Sie können auch einen SSL-Beschleuniger implementieren und den gesamten SSL-Verkehr dorthin verlagern.
quelle