หากคุณมี 5 เว็บเซิร์ฟเวอร์ที่อยู่เบื้องหลัง load balancer (เช่น haproxy) และพวกเขากำลังให้บริการเนื้อหาสำหรับโดเมนเดียวกันคุณต้องการใบรับรอง SSL สำหรับเซิร์ฟเวอร์ทั้งหมดหรือคุณสามารถใช้ใบรับรองเดียวกันในแต่ละเซิร์ฟเวอร์ได้หรือไม่?
ฉันรู้ว่าคุณสามารถใส่คำขอ SSL ทั้งหมดบนเซิร์ฟเวอร์เฉพาะ แต่ต้องใช้ข้อมูลเซสชันแบบกระจายและหวังว่าจะไม่เกิดขึ้น
คำตอบ:
หากคุณมี 5 เว็บเซิร์ฟเวอร์ที่อยู่เบื้องหลัง load balancer (... ) คุณจำเป็นต้องมีใบรับรอง SSL สำหรับเซิร์ฟเวอร์ทั้งหมดหรือไม่
มันขึ้นอยู่กับ.
ถ้าคุณทำโหลดบาลานซ์บน TCP หรือ IP เลเยอร์ (OSI ชั้น 4/3, aka L4, L3) แล้วใช่เซิร์ฟเวอร์ HTTP ทั้งหมดจะต้องติดตั้งใบรับรอง SSL
หากคุณโหลดบาลานซ์ในเลเยอร์ HTTPS (L7) คุณจะต้องติดตั้งใบรับรองบน load balancer เพียงอย่างเดียวและใช้ HTTP ที่ไม่ได้เข้ารหัสแบบธรรมดาผ่านเครือข่ายท้องถิ่นระหว่าง load balancer และ webservers (เพื่อประสิทธิภาพที่ดีที่สุดใน เว็บเซิร์ฟเวอร์)
หากคุณมีการติดตั้งขนาดใหญ่แสดงว่าคุณกำลังใช้อินเทอร์เน็ต -> L3 โหลดบาลานซ์ -> เลเยอร์ของ L7 SSL concentrators -> โหลดบาลานซ์ -> เลเยอร์ของแอปพลิเคชันเซิร์ฟเวอร์ L7 HTTP ...
วิลลี่ Tarreau, ผู้เขียนของ HAProxy มีภาพรวมที่ดีจริงๆของวิธีการที่ยอมรับของ load balancing HTTP
หากคุณติดตั้งใบรับรองในแต่ละเซิร์ฟเวอร์ต้องแน่ใจว่าได้รับใบรับรองที่รองรับสิ่งนี้ โดยปกติสามารถติดตั้งใบรับรองบนเซิร์ฟเวอร์หลายเครื่องตราบใดที่เซิร์ฟเวอร์ให้บริการปริมาณการใช้งานสำหรับชื่อโดเมนที่ผ่านการรับรองเท่านั้น แต่ตรวจสอบสิ่งที่คุณกำลังซื้อผู้ออกใบรับรองสามารถมีกลุ่มผลิตภัณฑ์ที่สับสน ...
คุณควรจะสามารถใช้ใบรับรองเดียวกันในแต่ละเซิร์ฟเวอร์ หากเว็บไซต์ของคุณคือ www.gathright.com คุณควรจะซื้อใบรับรองสำหรับ FQDN นั้นได้ จากนั้นคุณติดตั้งลงในเซิร์ฟเวอร์ทั้งห้าของคุณที่อยู่ด้านหลังตัวปรับสมดุล
หรือคุณสามารถขอรับใบรับรองแยกต่างหากสำหรับแต่ละเว็บเซิร์ฟเวอร์ แต่รวม 'www.gathright.com' เป็น "ชื่อสำรองของหัวเรื่อง" ซึ่งหมายความว่า 5 certs แต่ละรายการจะใช้ได้สำหรับ SSL กับ FQDN ทั่วไปและ SSL ไปยังเซิร์ฟเวอร์เฉพาะ FQDN
ใช่คุณสามารถใช้ใบรับรองเดียวกันและคีย์ส่วนตัวที่เชื่อมโยงกับเซิร์ฟเวอร์ทั้งหมดของคุณหากพวกเขาอยู่ด้านหลัง load balancer หรือ load balancing reverse proxy และหากพวกเขาทั้งหมดให้บริการเนื้อหาสำหรับโดเมนเดียวกัน
ใบรับรองเมื่อลงนามโดยหน่วยงานผู้ออกใบรับรองยืนยันว่าหน่วยงานผู้ออกใบรับรองรับรองชื่อในรายการใบรับรอง สำหรับใบรับรองสำหรับเว็บไซต์นั่นหมายถึงชื่อโดเมนของเว็บไซต์ เบราว์เซอร์ของคุณคาดว่าเซิร์ฟเวอร์ที่กำลังพูดถึงหากกำลังพูดถึง HTTPS แสดงใบรับรองที่มีชื่อเดียวกันกับชื่อโดเมนที่เบราว์เซอร์คิดว่ากำลังพูดถึง (ตัวอย่างเช่น VeriSign ไม่น่าจะลงนามใบรับรอง Hacker Joe สำหรับ bankofamerica.com ดังนั้นแม้ว่า Hacker Joe จะจัดการกับการรับส่งข้อมูลระหว่างคุณและ bankofamerica.com Hacker Joe จะไม่มีใบรับรองที่ลงนามสำหรับ bankofamerica.com และเบราว์เซอร์ของคุณ จะวางธงคำเตือนสีแดงขนาดใหญ่ไว้ทั่วทุกแห่ง)
สิ่งสำคัญคือชื่อบนใบรับรองตรงกับชื่อโดเมนที่เบราว์เซอร์คิดว่ากำลังคุยอยู่ คุณสามารถใช้ใบรับรองเดียวกัน (พร้อมกับกุญแจส่วนตัวที่เกี่ยวข้อง) ซึ่งมีชื่อที่ถูกต้องในหลาย ๆ เว็บเซิร์ฟเวอร์ในเว็บคลัสเตอร์ตราบใดที่มันอยู่ด้านหลังตัวโหลดบาลานซ์
นอกจากนี้คุณยังสามารถใช้ตัวโหลดบาลานเซอร์ที่เลิก SSL ซึ่งในกรณีนี้คุณจะต้องใช้ใบรับรอง (พร้อมกับคีย์ส่วนตัวที่เกี่ยวข้อง) ในโหลดบาลานเซอร์และเว็บเซิร์ฟเวอร์ก็ไม่ต้องการใบรับรองเพราะพวกเขาไม่ต้องทำอะไรเลย SSL
การตั้งค่าของเราทำงานได้ดีมาก:
https trafic
|
pound
|
http traffic
|
haproxy
|
http traffic
|
web server 1 ... web server n
ด้วยวิธีนี้ปอนด์ถอดรหัสการรับส่งข้อมูลจากที่นี่ในทุกสิ่งนั้นคือ http ตรง ข้อดี: การกำหนดค่าน้อยลงบนเว็บเซิร์ฟเวอร์หนึ่งเครื่องมือสำหรับแต่ละงาน คุณสามารถใช้ CPU สูงสุดในเครื่องปอนด์และทำให้เว็บเซิร์ฟเวอร์ "ปกติ" คุณควรได้รับอย่างน้อยสองอย่าง (ปอนด์, haproxy, เว็บเซิร์ฟเวอร์) หากสถานะการออนไลน์เป็นสิ่งสำคัญ
AFAIR คุณสามารถใช้ใบรับรองเดียวกันในแต่ละเซิร์ฟเวอร์ คุณยังสามารถใช้ตัวเร่งความเร็ว SSL และลดปริมาณการรับส่งข้อมูล SSL ทั้งหมด