Có phải mỗi máy chủ đằng sau một bộ cân bằng tải cần chứng chỉ SSL riêng không?


66

Nếu bạn có 5 máy chủ web phía sau bộ cân bằng tải (như haproxy) và chúng đang phục vụ nội dung cho cùng một tên miền, bạn có cần chứng chỉ SSL cho tất cả các máy chủ không, hoặc bạn có thể sử dụng cùng một chứng chỉ trên mỗi máy chủ không?

Tôi biết bạn có thể đặt tất cả các yêu cầu SSL trên một máy chủ cụ thể, nhưng điều đó yêu cầu thông tin phiên phân tán và hy vọng nó không đến đó.

Câu trả lời:


66

Nếu bạn có 5 máy chủ web phía sau bộ cân bằng tải (...), bạn có cần chứng chỉ SSL cho tất cả các máy chủ không,

Nó phụ thuộc.

Nếu bạn thực hiện cân bằng tải của mình trên lớp TCP hoặc IP (lớp OSI 4/3, còn gọi là L4, L3), thì có, tất cả các máy chủ HTTP sẽ cần phải cài đặt chứng chỉ SSL.

Nếu bạn tải cân bằng trên lớp HTTPS (L7), thì bạn thường chỉ cài đặt chứng chỉ trên bộ cân bằng tải và sử dụng HTTP không được mã hóa đơn giản qua mạng cục bộ giữa bộ cân bằng tải và máy chủ web (để có hiệu suất tốt nhất trên máy chủ web).

Nếu bạn có cài đặt lớn , thì bạn có thể đang thực hiện Internet -> cân bằng tải L3 -> lớp bộ tập trung L7 SSL -> bộ cân bằng tải -> lớp máy chủ ứng dụng L7 HTTP ...

Willy Tarreau, tác giả của HAProxy, có một cái nhìn tổng quan thực sự tốt đẹp về các cách cân bằng tải cân bằng HTTP / HTTPS .

Nếu bạn cài đặt chứng chỉ trên mỗi máy chủ, thì hãy chắc chắn nhận được chứng chỉ hỗ trợ này. Thông thường các chứng chỉ có thể được cài đặt trên nhiều máy chủ, miễn là tất cả các máy chủ chỉ phục vụ lưu lượng truy cập cho một Tên miền đủ điều kiện. Nhưng xác minh những gì bạn đang mua, nhà phát hành chứng chỉ có thể có một danh mục sản phẩm khó hiểu ...


1
Bạn có thể mua chứng chỉ với Tên thay thế chủ đề từ nhiều tổ chức phát hành ngay bây giờ. Trường SAN cho phép chứng chỉ hợp lệ cho nhiều FQDN. CẢNH BÁO ... Có thể có một số vấn đề với các máy khách web cũ hơn (IE6!), Trong một số trường hợp, máy khách sẽ không đọc thuộc tính SAN nếu thuộc tính Chủ đề có FQDN không hợp lệ.
Ryan Fisher

4
Thêm 1 để liên kết đến bài viết xuất sắc đó của Willy Tarreau.
Nathan Hartley

Trong các cài đặt từ trung bình đến lớn, thực hiện giảm tải SSL tại Big IP hoặc bộ cân bằng tải khác (tùy chọn thứ hai được liệt kê ở trên) có ưu điểm là nhanh hơn, có thể mở rộng hơn, ít phức tạp hơn (nói chung là một chứng chỉ trên LB) và ít tốn kém hơn từ chứng chỉ bên cấp phép (đa miền và SAN certs có giá cao).
Darrell Teague

15

Bạn sẽ có thể sử dụng cùng một chứng chỉ trên mỗi máy chủ. Nếu trang web của bạn là www.gathright.com, bạn sẽ có thể mua chứng chỉ cho FQDN đó. Sau đó, bạn cài đặt nó trên mỗi 5 máy chủ của bạn phía sau bộ cân bằng.

Ngoài ra, bạn có thể nhận một chứng chỉ riêng cho từng máy chủ web, nhưng bao gồm 'www.gathright.com' dưới dạng "Tên thay thế chủ đề", có nghĩa là mỗi 5 certs sẽ hợp lệ cho SSL đối với FQDN chung cũng như SSL đến các FQDN máy chủ cụ thể.


6
Để làm rõ phản hồi này, bạn sẽ cài đặt chứng chỉ trên máy chủ đã tạo yêu cầu. Sau đó, bạn sẽ xuất chứng chỉ từ máy chủ đó cùng với khóa riêng để nhập chứng chỉ đó trên các máy chủ khác.
Charles

Ôi! Vâng, tôi quên đề cập rằng bạn cần xuất khóa riêng. Cảm ơn, Charles.
Ryan Fisher

Nhưng nếu tôi sử dụng SAN certs trên mỗi máy chủ, thì mỗi máy chủ có cần khóa riêng không?
anschoewe

@anschoewe, không. Mỗi người đều có khóa riêng và bạn phải trả x5 giá nếu bạn có 5 máy tính.
Alexis Wilke

1
@AlexisWilke - không chắc điều đó có nghĩa là gì: nếu họ sử dụng chứng chỉ SAN, họ chỉ cần một chứng chỉ, và do đó một khóa, và do đó 1 giá. SAN certs có thể được sử dụng trên nhiều máy chủ để phục vụ một hoặc nhiều tên miền; giá tăng lên khi thêm tên miền , không phải khi thêm máy chủ
lùn

12

, bạn có thể sử dụng cùng một chứng chỉ và khóa riêng được liên kết trên tất cả các máy chủ của mình, nếu chúng nằm sau bộ cân bằng tải hoặc proxy cân bằng tải và nếu tất cả chúng đều phục vụ nội dung cho cùng một tên miền.

Chứng chỉ, khi được ký bởi cơ quan chứng nhận, khẳng định rằng cơ quan chứng nhận đã xác minh tên được liệt kê trên chứng chỉ. Đối với chứng chỉ cho các trang web, điều đó có nghĩa là tên miền của trang web. Trình duyệt của bạn hy vọng rằng máy chủ mà nó đang nói chuyện, nếu nó đang nói chuyện qua HTTPS, sẽ trình bày một chứng chỉ có cùng tên với tên miền mà trình duyệt nghĩ rằng nó đang nói chuyện. (Ví dụ: VeriSign không có khả năng ký chứng chỉ của Hacker Joe cho bankofamerica.com. Vì vậy, ngay cả khi Hacker Joe quản lý để chặn lưu lượng giữa bạn và bankofamerica.com, Hacker Joe sẽ không có chứng chỉ đã ký cho bankofamerica.com và trình duyệt của bạn sẽ treo cờ cảnh báo lớn màu đỏ khắp nơi.)

Vấn đề là tên trên chứng chỉ khớp với tên miền mà trình duyệt cho rằng nó đang nói chuyện. Bạn có thể sử dụng cùng một chứng chỉ (có khóa riêng được liên kết) mang tên chính xác trên nhiều máy chủ web trong một cụm web, miễn là chúng ở phía sau bộ cân bằng tải.

Bạn cũng có thể sử dụng bộ cân bằng tải kết thúc SSL, trong trường hợp đó bạn sẽ sử dụng chứng chỉ (có khóa riêng được liên kết) trên bộ cân bằng tải và các máy chủ web sẽ không cần chứng chỉ vì chúng sẽ không liên quan gì SSL.


6

Thiết lập của chúng tôi đã hoạt động rất tốt:

https trafic
     |
   pound
     |
http traffic
     |
  haproxy
     |
http traffic 
     |
web server 1 ... web server n

Cách này pound giải mã lưu lượng, từ đây về mọi thứ là http thẳng. Ưu điểm: ít cấu hình trên các máy chủ web, một công cụ cho mỗi công việc. Bạn có thể sử dụng tối đa CPU trên máy tính bảng và giữ cho các máy chủ web "bình thường". Bạn nên lấy ít nhất hai trong số đó (pound, haproxy, máy chủ web), nếu thời gian hoạt động là quan trọng.


2
Điều này cũng giả định rằng các máy tính phụ trợ của bạn nằm trên một mạng riêng an toàn. Trong đám mây không phải lúc nào cũng như vậy ...
Alexis Wilke

3

AFAIR, bạn có thể sử dụng cùng một chứng chỉ trên mỗi máy chủ. Bạn cũng có thể triển khai trình tăng tốc SSL và giảm tải tất cả lưu lượng SSL cho nó.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.