Если у вас есть 5 веб-серверов за балансировщиком нагрузки (например, haproxy), и они обслуживают контент для одного домена, нужны ли вам сертификаты SSL для всех серверов, или вы можете использовать один и тот же сертификат на каждом сервере?
Я знаю, что вы можете разместить все запросы SSL на определенном сервере, но для этого требуется распределенная информация о сеансе, и я надеюсь, что до этого не дойдет.
Если у вас есть 5 веб-серверов за балансировщиком нагрузки (...), вам нужны сертификаты SSL для всех серверов,
Это зависит.
Если вы выполняете балансировку нагрузки на уровне TCP или IP (уровень OSI 4/3, также известный как L4, L3), тогда да, все HTTP-серверы должны иметь установленный сертификат SSL.
Если вы выполняете балансировку нагрузки на уровне HTTPS (L7), то вы обычно устанавливаете сертификат только на балансировщик нагрузки и используете простой незашифрованный HTTP по локальной сети между балансировщиком нагрузки и веб-серверами (для лучшей производительности на веб-серверы).
Если у тебя есть большой установка, то вы можете выполнять Интернет -> балансировка нагрузки L3 -> уровень концентраторов L7 SSL -> балансировщики нагрузки -> уровень серверов приложений HTTP L7 ...
Вилли Тарро, автор HAProxy, имеет действительно хороший обзор канонические способы балансировки нагрузки HTTP / HTTPS.
Если вы устанавливаете сертификат на каждый сервер, обязательно получите сертификат, который это поддерживает. Обычно сертификаты могут быть установлены на нескольких серверах, если все серверы обслуживают трафик только для одного полного доменного имени. Но проверьте, что вы покупаете, у эмитентов сертификатов может быть запутанный портфель продуктов ...
Вы должны иметь возможность использовать один и тот же сертификат на каждом сервере. Если ваш веб-сайт www.gathright.com, вы сможете купить сертификат для этого FQDN. Затем вы устанавливаете его на каждом из 5 серверов за балансировщиком.
В качестве альтернативы вы можете получить отдельный сертификат для каждого веб-сервера, но включите www.gathright.com в качестве «альтернативного имени субъекта», что означает, что каждый из 5 сертификатов будет действителен для SSL для этого общего FQDN, а также для SSL. к конкретным полным доменным именам сервера.
ДА, вы можете использовать один и тот же сертификат и связанный закрытый ключ на всех своих серверах, если они находятся за балансировщиком нагрузки или обратным прокси-сервером балансировки нагрузки и если все они обслуживают контент для одного домена.
Сертификаты, подписанные центром сертификации, подтверждают, что центр сертификации проверил название указано в сертификате. Для сертификатов для веб-сайтов это означает доменное имя веб-сайта. Ваш браузер ожидает, что сервер, с которым он разговаривает, если он разговаривает по HTTPS, представит сертификат с тем же название как доменное имя, с которым, по мнению браузера, обращается. (Например, VeriSign вряд ли подпишет сертификат Хакера Джо для bankofamerica.com. Таким образом, даже если Хакеру Джо удастся перехватить трафик между вами и bankofamerica.com, у Хакера Джо не будет подписанного сертификата для bankofamerica.com и вашего браузера. повсюду будут вывешивать большие красные предупреждающие флажки.)
Важно то, что название в сертификате совпадает с доменным именем, с которым, по мнению браузера, обращается. Вы можете использовать один и тот же сертификат (со связанным закрытым ключом) с правильным именем на нескольких веб-серверах в веб-кластере, если они находятся за балансировщиком нагрузки.
Вы также можете использовать балансировщик нагрузки с завершением SSL, и в этом случае вы должны использовать сертификат (со связанным закрытым ключом) на балансировщике нагрузки, и веб-серверам не понадобятся сертификаты, потому что они не будут иметь ничего общего с SSL.
Наша установка сработала очень хорошо:
https trafic
|
pound
|
http traffic
|
haproxy
|
http traffic
|
web server 1 ... web server n
Таким образом фунт расшифровывает трафик, отсюда все просто http. Преимущества: меньше настроек на веб-серверах, один инструмент для каждого задания. Вы можете максимально использовать ЦП на фунтовой машине и оставить веб-серверы в «нормальном состоянии». Вы должны получить по крайней мере два из каждого (фунт, haproxy, веб-серверы), если время безотказной работы важно.
AFAIR, вы можете использовать один и тот же сертификат на каждом сервере. Вы также можете реализовать ускоритель SSL и разгрузить на него весь трафик SSL.