Как настроить SSL в среде с балансировкой нагрузки?

Question

Как настроить SSL в среде с балансировкой нагрузки?

вот наша текущая инфраструктура:

2 веб-сервера за общим балансировщиком нагрузки
dns указывает на балансировщик нагрузки
веб-приложение сделано в asp.net, с WCF services

мой вопрос заключается в том, как настроить SSL-сертификат для поддержки https-соединения.

здесь 2 идеи, которые у меня есть:

SSL-сертификат завершается на балансировщике нагрузки. безопасное / незащищенное сообщение за балансировщик нагрузки будет перенаправлен на 2 разных порта.
pro: нужен только сертификат 1 Как я по горизонтали
плюсы: я должен проверить безопасный или не безопасный, проверив, какой порт запрос идет. мне кажется, это не совсем правильно!--16-->
WCF по дизайну не будет работать, когда IIS привязан 2 разных порта
(по этому)
SSL-сертификат завершается на каждом из сервер?
плюсы: нужно добавить больше сертификатов для горизонтального масштабирования

спасибо

7

asp.net infrastructure load-balancing wcf

автор: Michael Johnson

4 ответов

автор: Alex Martelli · Accepted Answer · 2009-05-04 05:57:17

определенно завершите SSL на балансировщике нагрузки!!! Все, что позади, не должно быть видно снаружи. Почему бы не два порта для безопасной / небезопасной работы просто отлично?

автор: blowdart · Accepted Answer · 2011-05-27 20:45:14

на самом деле вам не нужно больше сертификатов вообще. Потому что внешне видимый FQDN такой же, как вы используете же сертификат на каждую машину.

Это означает, что WCF (если вы его используете) будет работать. WCF с завершением SSL на внешнем балансировщике нагрузки болезненно, если вы подписываете / шифруете на уровне сообщений, а не на уровне транспорта.

автор: Chris · Accepted Answer · 2009-05-04 06:31:59

скорее всего, вам не нужны два порта. Просто попросите виртуальный сервер SSL на балансировщике нагрузки добавить HTTP-заголовок к запросу и проверьте это. Это то, что мы делаем с нашим Zeus zxtm 5.1.

автор: Chad Grant · Accepted Answer · 2009-05-04 07:16:10

не есть чтобы получить сертификат для каждого сайта, есть такие вещи, как сертификаты подстановочных знаков. Но он должен быть установлен на каждом сервере. (предполагая, что вы используете поддомены, если нет, вы можете повторно использовать один и тот же сертификат на разных машинах)

но я бы, вероятно, поставил сертификат на балансировщик нагрузки, если не только ради легкой конфигурации.