Nếu bạn có 5 máy chủ web phía sau bộ cân bằng tải (như haproxy) và chúng đang phục vụ nội dung cho cùng một tên miền, bạn có cần chứng chỉ SSL cho tất cả các máy chủ không, hoặc bạn có thể sử dụng cùng một chứng chỉ trên mỗi máy chủ không?
Tôi biết bạn có thể đặt tất cả các yêu cầu SSL trên một máy chủ cụ thể, nhưng điều đó yêu cầu thông tin phiên phân tán và hy vọng nó không đến đó.
Câu trả lời:
Nếu bạn có 5 máy chủ web phía sau bộ cân bằng tải (...), bạn có cần chứng chỉ SSL cho tất cả các máy chủ không,
Nó phụ thuộc.
Nếu bạn thực hiện cân bằng tải của mình trên lớp TCP hoặc IP (lớp OSI 4/3, còn gọi là L4, L3), thì có, tất cả các máy chủ HTTP sẽ cần phải cài đặt chứng chỉ SSL.
Nếu bạn tải cân bằng trên lớp HTTPS (L7), thì bạn thường chỉ cài đặt chứng chỉ trên bộ cân bằng tải và sử dụng HTTP không được mã hóa đơn giản qua mạng cục bộ giữa bộ cân bằng tải và máy chủ web (để có hiệu suất tốt nhất trên máy chủ web).
Nếu bạn có cài đặt lớn , thì bạn có thể đang thực hiện Internet -> cân bằng tải L3 -> lớp bộ tập trung L7 SSL -> bộ cân bằng tải -> lớp máy chủ ứng dụng L7 HTTP ...
Willy Tarreau, tác giả của HAProxy, có một cái nhìn tổng quan thực sự tốt đẹp về các cách cân bằng tải cân bằng HTTP / HTTPS .
Nếu bạn cài đặt chứng chỉ trên mỗi máy chủ, thì hãy chắc chắn nhận được chứng chỉ hỗ trợ này. Thông thường các chứng chỉ có thể được cài đặt trên nhiều máy chủ, miễn là tất cả các máy chủ chỉ phục vụ lưu lượng truy cập cho một Tên miền đủ điều kiện. Nhưng xác minh những gì bạn đang mua, nhà phát hành chứng chỉ có thể có một danh mục sản phẩm khó hiểu ...
Bạn sẽ có thể sử dụng cùng một chứng chỉ trên mỗi máy chủ. Nếu trang web của bạn là www.gathright.com, bạn sẽ có thể mua chứng chỉ cho FQDN đó. Sau đó, bạn cài đặt nó trên mỗi 5 máy chủ của bạn phía sau bộ cân bằng.
Ngoài ra, bạn có thể nhận một chứng chỉ riêng cho từng máy chủ web, nhưng bao gồm 'www.gathright.com' dưới dạng "Tên thay thế chủ đề", có nghĩa là mỗi 5 certs sẽ hợp lệ cho SSL đối với FQDN chung cũng như SSL đến các FQDN máy chủ cụ thể.
CÓ , bạn có thể sử dụng cùng một chứng chỉ và khóa riêng được liên kết trên tất cả các máy chủ của mình, nếu chúng nằm sau bộ cân bằng tải hoặc proxy cân bằng tải và nếu tất cả chúng đều phục vụ nội dung cho cùng một tên miền.
Chứng chỉ, khi được ký bởi cơ quan chứng nhận, khẳng định rằng cơ quan chứng nhận đã xác minh tên được liệt kê trên chứng chỉ. Đối với chứng chỉ cho các trang web, điều đó có nghĩa là tên miền của trang web. Trình duyệt của bạn hy vọng rằng máy chủ mà nó đang nói chuyện, nếu nó đang nói chuyện qua HTTPS, sẽ trình bày một chứng chỉ có cùng tên với tên miền mà trình duyệt nghĩ rằng nó đang nói chuyện. (Ví dụ: VeriSign không có khả năng ký chứng chỉ của Hacker Joe cho bankofamerica.com. Vì vậy, ngay cả khi Hacker Joe quản lý để chặn lưu lượng giữa bạn và bankofamerica.com, Hacker Joe sẽ không có chứng chỉ đã ký cho bankofamerica.com và trình duyệt của bạn sẽ treo cờ cảnh báo lớn màu đỏ khắp nơi.)
Vấn đề là tên trên chứng chỉ khớp với tên miền mà trình duyệt cho rằng nó đang nói chuyện. Bạn có thể sử dụng cùng một chứng chỉ (có khóa riêng được liên kết) mang tên chính xác trên nhiều máy chủ web trong một cụm web, miễn là chúng ở phía sau bộ cân bằng tải.
Bạn cũng có thể sử dụng bộ cân bằng tải kết thúc SSL, trong trường hợp đó bạn sẽ sử dụng chứng chỉ (có khóa riêng được liên kết) trên bộ cân bằng tải và các máy chủ web sẽ không cần chứng chỉ vì chúng sẽ không liên quan gì SSL.
Thiết lập của chúng tôi đã hoạt động rất tốt:
https trafic
|
pound
|
http traffic
|
haproxy
|
http traffic
|
web server 1 ... web server n
Cách này pound giải mã lưu lượng, từ đây về mọi thứ là http thẳng. Ưu điểm: ít cấu hình trên các máy chủ web, một công cụ cho mỗi công việc. Bạn có thể sử dụng tối đa CPU trên máy tính bảng và giữ cho các máy chủ web "bình thường". Bạn nên lấy ít nhất hai trong số đó (pound, haproxy, máy chủ web), nếu thời gian hoạt động là quan trọng.