Я прочитал различные темы, касающиеся кластеров (за балансировщиком нагрузки) и сертификатов.
Я пытаюсь реализовать это в нашей компании.
Во-первых, наша политика компании не разрешает экспорт сертификатов, поэтому об этом не может быть и речи. Мне сказали, что вы не можете подать заявку на сертификат с идентичным CN, т.е. www.example.com для сервера 1 и www.example.com для сервера 2. Но логически это то же самое, что и экспорт, за исключением того, что вы генерируете новые ключи? Говорят ли центры сертификации: «Мы не примем одни и те же доменные имена, но если вы хотите сделать их экспортируемыми, риск лежит на вас?».
Во-вторых, мне сказали, что будет работать следующее:
CN= Server 1
Subject Alternate Name (SAN)=www.example.com
CN= Server 2
SAN=www.example.com
Я не вижу разницы между этим и просто записью CN.
В-третьих, я знаю, что если балансировщик нагрузки переходит на уровень приложения, тогда сертификат может быть установлен там, но я просто хотел ответить на два вышеупомянутых вопроса без учета этого.
Может ли кто-нибудь очистить это облако над моей головой?
Заранее спасибо, помощь будет очень признательна
Кристофер
Во-первых, наша политика компании не разрешает экспорт сертификатов.
Это наивная и глупая политика. Запрещение экспорта сертификата - это только функция графического интерфейса. Полный сертификат по-прежнему может быть экспортирован, но не теми людьми, которые должны выполнять свою работу.
https://www.isecpartners.com/tools/application-security/jailbreak.aspx
Хотя я согласен с тем, что сказал Грег, я не думаю, что он действительно ответил на ваш вопрос о том, как реализовать SSL-сертификаты на серверах за балансировщиком нагрузки.
Есть несколько способов сделать это. Один из способов - установить один и тот же сертификат на каждый веб-сервер. Это вполне допустимая практика. Извините, если политика вашей компании запрещает вам правильно внедрять SSL в ферме с балансировкой нагрузки.
Другой способ - поставить сертификат только на балансировщик нагрузки. Обычно это подразумевает балансировку нагрузки на уровне приложений, когда трафик от веб-сервера к балансировщику нагрузки в локальной сети не зашифрован, а SSL используется только из балансировщика нагрузки.
Во-вторых, да, вы можете использовать сертификат SAN. Однако имейте в виду, что сертификаты SAN немного новее, и некоторые старые клиенты их не понимают. А в некоторых случаях на них смотрят свысока, потому что включение нескольких имен в один сертификат теоретически снижает его надежность ... но это очень мелочь.
Эта статья дает очень хорошее представление о различных методах балансировки нагрузки: