如果您在负载均衡器(例如haproxy)后面有5台Web服务器,并且它们正在为同一域提供内容,那么您是否需要所有服务器的SSL证书,或者可以在每台服务器上使用相同的证书?
我知道您可以将所有SSL请求放在特定的服务器上,但这需要分布式的会话信息,并希望它不会实现。
如果您在负载均衡器(例如haproxy)后面有5台Web服务器,并且它们正在为同一域提供内容,那么您是否需要所有服务器的SSL证书,或者可以在每台服务器上使用相同的证书?
我知道您可以将所有SSL请求放在特定的服务器上,但这需要分布式的会话信息,并希望它不会实现。
Answers:
如果您在负载平衡器(...)后面有5台Web服务器,是否需要所有服务器的SSL证书,
这取决于。
如果在TCP或IP层(OSI层4/3,又名L4,L3)上进行负载平衡,则可以,所有HTTP服务器都需要安装SSL证书。
如果您在HTTPS层(L7)上进行负载平衡,则通常会单独将证书安装在负载平衡器上,并在负载平衡器和Web服务器之间的本地网络上使用普通的未加密HTTP(以实现最佳性能)。网络服务器)。
如果安装规模较大,则可能是在执行Internet-> L3负载平衡-> L7 SSL集中器层->负载平衡器-> L7 HTTP应用程序服务器层...
HAProxy的作者Willy Tarreau很好地概述了HTTP / HTTPS负载均衡的规范方法。
如果在每台服务器上安装证书,请确保获得支持此证书的证书。通常,证书可以安装在多台服务器上,只要所有服务器都为一个完全合格的域名提供流量。但是,请验证您所购买的商品,证书颁发者会拥有令人困惑的产品组合...
您应该能够在每个服务器上使用相同的证书。如果您的网站是www.gathright.com,则应该能够购买该FQDN的证书。然后,将其安装在平衡器后面的5台服务器中的每台服务器上。
或者,您可以为每个Web服务器获得单独的证书,但将“ www.gathright.com”作为“主题备用名称”,这意味着5个证书中的每一个对于该通用FQDN和SSL的SSL均有效。到特定的服务器FQDN。
是,您可以在所有服务器上使用相同的证书和关联的私钥,如果它们位于负载均衡器或负载均衡反向代理之后,并且它们都在为同一域提供内容。
证书由证书颁发机构签名时,断言证书颁发机构已验证证书上列出的名称。对于网站的证书,这表示网站的域名。您的浏览器期望它正在给,如果它正在通过HTTPS服务器,提供一个证书轴承相同的名称作为域名,浏览器认为它聊天。(例如,VeriSign不太可能为bankofamerica.com签署Hacker Joe的证书。因此,即使Hacker Joe设法拦截了您和bankofamerica.com之间的流量,Hacker Joe也不会为bankofamerica.com和您的浏览器提供签名证书会在整个地方张贴红色大警告标志。)
重要的是,该名证书上的域名,浏览器认为它正在与匹配。您可以在Web群集中的多个Web服务器上使用带有正确名称的相同证书(具有关联的私钥),只要它们在负载均衡器后面即可。
您还可以使用终止于SSL的负载均衡器,在这种情况下,您将在负载均衡器上使用证书(带有关联的私钥),并且Web服务器不需要证书,因为它们与服务器无关SSL。
我们的设置效果很好:
https trafic
|
pound
|
http traffic
|
haproxy
|
http traffic
|
web server 1 ... web server n
这样,英镑就可以解密流量,从这里开始,所有内容都是直接的http。优点:Web服务器上的配置更少,每项工作只需一个工具。您可以最大限度地利用英镑计算机上的CPU,并使Web服务器保持“正常”状态。如果正常运行时间很重要,那么您应该至少每个获得两个(磅,haproxy,Web服务器)。