Yük dengeleyicinin arkasındaki her sunucunun kendi SSL sertifikasına ihtiyacı var mı?

66

Yük dengeleyicinin arkasında (web sitesi gibi) 5 web sunucunuz varsa ve aynı etki alanı için içerik sağlıyorlarsa, tüm sunucular için SSL sertifikalarına mı ihtiyacınız var, yoksa her sunucuda aynı sertifikayı kullanabilir misiniz?

Tüm SSL isteklerini belirli bir sunucuya koyabileceğinizi biliyorum, ancak bu, dağıtılmış oturum bilgisi gerektiriyor ve bunun gelmeyeceğini umuyor.

ssl load-balancing

— Derek Gathright
kaynak

66

Yük dengeleyicinin (...) arkasında 5 web sunucunuz varsa, tüm sunucular için SSL sertifikalarına ihtiyacınız var mı?

Değişir.

Yük dengelemenizi TCP veya IP katmanında (OSI katman 4/3, aka L4, L3) yaparsanız, evet, tüm HTTP sunucularının SSL sertifikası yüklü olması gerekir.

Dengeyi HTTPS katmanına (L7) yüklerseniz, sertifikayı yalnızca yalnızca yük dengeleyicisine yükler ve yerel ağ üzerinden yük dengeleyici ile web sunucuları arasındaki yerel ağ üzerinden şifrelenmemiş düz HTTP kullanırsınız ( web sunucuları).

Eğer bir varsa büyük kurulum, o zaman interneti yapıyor olabilir -> L3 yük dengeleme -> L7 SSL konsantratörü tabaka -> yük dengeleyici -> L7 HTTP uygulama sunucularının katmanı ...

HAProxy'nin yazarı Willy Tarreau, kanonik yük dengeleme HTTP / HTTPS yöntemlerine gerçekten güzel bir genel bakış sunuyor .

Her sunucuya bir sertifika yüklerseniz, bunu destekleyen bir sertifika aldığınızdan emin olun. Tüm sunucular yalnızca bir Tam Nitelikli Etki Alanı Adı için trafik sağladığı sürece normalde sertifikalar birden çok sunucuya yüklenebilir. Ama ne aldığınızı doğrulayın, sertifika verenler kafa karıştırıcı bir ürün portföyüne sahip olabilirler ...

— Jesper Mortensen
kaynak

1

Sertifikaları, şimdi birçok vericiden Konu Alternatif Adları ile satın alabilirsiniz. SAN alanı, birden fazla FQDN için geçerli olan bir sertifikaya izin verir. UYARI ... Eski web istemcilerinde bazı sorunlar olabilir (IE6!), Bazı durumlarda Konu özniteliği geçersiz bir FQDN içeriyorsa müşteri SAN özniteliğini okumaz.

— Ryan Fisher

4

Willy Tarreau'nun bu mükemmel makalesine bağlantı için Artı 1.

— Nathan Hartley

Orta ila büyük kurulumlarda, SSL’nin Büyük IP’ye veya diğer yük dengeleyiciye (yukarıda listelenen ikinci seçenek) boşaltılması, daha hızlı, daha ölçeklenebilir, daha az karmaşık (genellikle LB’de bir sertifika) ve sertifikadan daha ucuz olma avantajlarına sahiptir lisans tarafı (çok alanlı ve SAN sertifikaları pahalı hale gelir).

— Darrell Teague

15

Her sunucuda aynı sertifikayı kullanabilmelisiniz. Web siteniz www.gathright.com ise, bu FQDN için bir sertifika satın almanız gerekir. Sonra dengeleyicinin arkasındaki 5 sunucunuza kurun.

Alternatif olarak, her web sunucusu için ayrı bir sertifika alabilirsiniz, ancak "www.gathright.com" u bir "Konu Alternatif Adı" olarak ekleyin; belirli sunucu FQDN'lerine

— Ryan Fisher
kaynak

6

Bu yanıtı netleştirmek için, sertifikayı isteği oluşturan sunucuya yükleyeceksiniz. Daha sonra, diğer sunucularda almak için o sertifikayı o sunucudan özel anahtarla birlikte verirsiniz.

— Charles

D'oh! Evet, özel anahtarı vermeniz gerektiğini söylemeyi unuttum. Sağol Charles.

— Ryan Fisher

Fakat her sunucuda SAN cer'leri kullanırsam, her birinin aynı özel anahtara ihtiyaçları var mı?

— anschoewe

@anschoewe, hayır. Her birinin kendi özel anahtarı olacaktı ve eğer 5 bilgisayarınız varsa, x5 bedelini ödemek zorunda kalacaksınız.

— Alexis Wilke

1

@AlexisWilke - Bunun ne anlama geldiğinden emin değilsiniz: eğer bir SAN sertifikası kullanıyorlarsa, yalnızca bir sertifikaya, dolayısıyla bir anahtara ve dolayısıyla 1 fiyata ihtiyaçları var. SAN cer'leri, bir veya daha fazla alana hizmet vermek için birden fazla sunucuda kullanılabilir; eklerken fiyat artar etki eklerken, değil sunucularını

— dwanderson

12

EVET , bir yük dengeleyicisinin veya yük dengeleyici ters proxy'nin arkasındaysa ve tümü aynı etki alanı için içerik sunuyorsa, tüm sunucularınızda aynı sertifikayı ve ilişkili özel anahtarı kullanabilirsiniz.

Sertifikalar, bir sertifika yetkilisi tarafından imzalandığında, sertifika yetkilisinin sertifikada listelenen adı doğruladığını belirtir . Web siteleri için sertifikalar için bu, web sitesinin etki alanı adı anlamına gelir. Tarayıcınız, konuştuğu sunucunun HTTPS üzerinden konuşuyorsa , tarayıcının konuştuğunu düşündüğü etki alanı adıyla aynı adı taşıyan bir sertifika sunmasını bekler . (Örneğin, VeriSign'ın Hacker Joe'nun bankofamerica.com sertifikasını imzalaması muhtemel değildir. Bu nedenle Hacker Joe sizin ve bankofamerica.com arasındaki trafiği engellemeyi başarsa bile, Hacker Joe bankofamerica.com ve tarayıcınız için imzalı bir sertifika almayacaktır her yere büyük kırmızı uyarı bayrakları koyacağız.)

Önemli olan olmasıdır adı sertifika üzerindeki tarayıcı o konuşuyor düşündüğü alan adını eşleşir. Bir web kümesindeki birden çok web sunucusu arasında doğru adı taşıyan aynı sertifikayı (ilişkili özel anahtarla), bir yük dengeleyicisinin arkasında oldukları sürece kullanabilirsiniz.

Ayrıca SSL sonlandırmalı bir yük dengeleyici kullanabilirsiniz, bu durumda yük dengeleyici üzerinde sertifikayı (ilgili özel anahtarla birlikte kullanırsınız) ve web sunucularının sertifikaya ihtiyacı olmaz çünkü SSL

— yfeldblum
kaynak

6

Kurulumumuz çok iyi çalıştı:

https trafic
     |
   pound
     |
http traffic
     |
  haproxy
     |
http traffic 
     |
web server 1 ... web server n

Bu şekilde, pound trafiğin şifresini çözer, buradan itibaren her şey düz http. Avantajları: web sunucularında daha az konfigürasyon, her iş için bir araç. Pound makinesinde CPU'yu maksimize edebilir ve web sunucularını "normal" tutabilirsiniz. Çalışma süresi önemliyse, en az ikisini almalısınız (pound, haproxy, web server).

— jotango
kaynak

2

Bu aynı zamanda arka uç bilgisayarlarınızın güvenli bir özel ağda olduğunu varsayar. Her zaman böyle olmayan bulutta ...

— Alexis Wilke

3

AFAIR, aynı sertifikayı her sunucuda kullanabilirsiniz. Ayrıca bir SSL hızlandırıcı uygulayabilir ve tüm SSL trafiğini tahliye edebilirsiniz.

— joeqwerty
kaynak