Frage Benötigt jeder Server hinter einem Load Balancer ein eigenes SSL-Zertifikat?


Wenn Sie 5 Webserver hinter einem Load Balancer (z. B. haproxy) haben und Inhalte für die gleiche Domäne bereitstellen, benötigen Sie SSL-Zertifikate für alle Server oder können Sie dasselbe Zertifikat auf jedem Server verwenden?

Ich weiß, dass Sie alle SSL-Anfragen auf einen bestimmten Server stellen können, aber das erfordert verteilte Sitzungsinformationen und hofft, dass es dazu nicht kommt.


60
2017-09-25 16:08


Ursprung




Antworten:


Wenn Sie 5 Webserver hinter einem Load Balancer haben (...)   benötigen Sie SSL-Zertifikate für alle Server,

Es hängt davon ab, ob.

Wenn Sie Ihren Lastausgleich auf der TCP- oder IP-Schicht (OSI-Schicht 4/3, a.k.a L4, L3) durchführen, dann müssen alle HTTP-Server das SSL-Zertifikat installiert haben.

Wenn Sie das Guthaben auf der HTTPS-Schicht (L7) laden, wird das Zertifikat normalerweise nur auf dem Load Balancer installiert und unverschlüsseltes HTTP über das lokale Netzwerk zwischen dem Load Balancer und den Webservern verwendet (für die beste Leistung im Webserver).

Wenn Sie eine haben groß Installation, dann tun Sie vielleicht Internet -> L3 Lastenausgleich -> Schicht von L7 SSL-Konzentratoren -> Load Balancer -> Schicht von L7 HTTP-Anwendungsservern ...

Willy Tarreau, der Autor von HAProxy, hat einen wirklich schönen Überblick über die kanonische Möglichkeiten des Lastausgleichs HTTP / HTTPS.

Wenn Sie auf jedem Server ein Zertifikat installieren, stellen Sie sicher, dass Sie ein Zertifikat erhalten, das dies unterstützt. Normalerweise können Zertifikate auf mehreren Servern installiert werden, solange die Server den Datenverkehr nur für einen vollständig qualifizierten Domänennamen bereitstellen. Aber verifizieren Sie, was Sie kaufen, Zertifikatsemittenten können ein verwirrendes Produktportfolio haben ...


62
2017-09-25 16:30



Sie können jetzt Zertifikate mit alternativen Antragstellernamen von vielen Emittenten erwerben. Das SAN-Feld ermöglicht ein Zertifikat, das für mehrere FQDNs gültig ist. WARNUNG ... Bei älteren Webclients (IE6!) Können einige Probleme auftreten. In einigen Fällen liest der Client das SAN-Attribut nicht, wenn das Subject-Attribut einen ungültigen FQDN aufweist. - Ryan Fisher
Plus 1 für die Verknüpfung mit diesem ausgezeichneten Artikel von Willy Tarreau. - Nathan Hartley
In mittleren bis großen Installationen hat die SSL-Verschiebung beim Big IP oder einem anderen Load-Balancer (zweite Option oben) den Vorteil, dass sie schneller, besser skalierbar, weniger kompliziert (in der Regel ein Zertifikat bei LB) und kostengünstiger ist Lizenzierungsseite (Multi-Domain und SAN-Zertifikate werden teuer). - Darrell Teague


Sie sollten dasselbe Zertifikat auf jedem Server verwenden können. Wenn Ihre Website www.gathright.com ist, sollten Sie in der Lage sein, ein Zertifikat für diesen FQDN zu kaufen. Dann installieren Sie es auf jedem Ihrer 5 Server hinter dem Balancer.

Alternativ können Sie für jeden Webserver ein separates Zertifikat erhalten, aber "www.gathright.com" als "alternativen Antragstellernamen" angeben, was bedeutet, dass jedes der 5 Zertifikate für SSL sowohl für diesen allgemeinen FQDN als auch für SSL gültig ist zu den spezifischen Server-FQDNs.


13
2017-09-25 16:18



Um diese Antwort zu klären, installieren Sie das Zertifikat auf dem Server, der die Anfrage generiert hat. Sie würden dann das Zertifikat von diesem Server zusammen mit dem privaten Schlüssel exportieren, um es auf den anderen Servern zu importieren. - Charles
Oh! Ja, ich habe vergessen zu erwähnen, dass du den privaten Schlüssel exportieren musst. Danke, Charles. - Ryan Fisher
Aber wenn ich auf jedem Server SAN-Zertifikate verwende, benötigen sie dann jeweils denselben privaten Schlüssel? - anschoewe
@anschoewe, nein. Sie würden jeweils ihren eigenen privaten Schlüssel haben und Sie müssten x5 den Preis zahlen, wenn Sie 5 Computer haben. - Alexis Wilke
@AlexisWilke - nicht sicher, was das heißt: Wenn sie ein SAN-Zertifikat verwenden, benötigen sie nur ein Zertifikat und damit einen Schlüssel und damit einen Preis. SAN-Zertifikate können auf mehreren Servern verwendet werden, um eine oder mehrere Domänen zu bedienen. Der Preis steigt beim Hinzufügen Domänennicht beim Hinzufügen Server - dwanderson


JASie können dasselbe Zertifikat und den zugehörigen privaten Schlüssel auf allen Ihren Servern verwenden, wenn sie sich hinter einem Load Balancer oder Load Balancing Reverse Proxy befinden und alle Inhalte für die gleiche Domäne bereitstellen.

Zertifikate bestätigen, wenn sie von einer Zertifizierungsstelle signiert wurden, dass die Zertifizierungsstelle die Name auf dem Zertifikat aufgeführt. Bei Zertifikaten für Websites ist dies der Domainname der Website. Ihr Browser erwartet, dass der Server, mit dem er kommuniziert, wenn er über HTTPS spricht, ein Zertifikat präsentiert, das dasselbe enthält Name als der Domainname, von dem der Browser denkt, dass er mit ihm spricht. (VeriSign ist beispielsweise nicht bereit, Hacker Joes Zertifikat für bankofamerica.com zu signieren. Selbst wenn Hacker Joe es schafft, den Datenverkehr zwischen Ihnen und bankofamerica.com abzufangen, wird Hacker Joe kein signiertes Zertifikat für bankofamerica.com und Ihren Browser besitzen wird große rote Warnflaggen überall aufstellen.)

Was zählt ist, dass die Name auf dem Zertifikat stimmt mit dem Domainnamen überein, von dem der Browser denkt, dass er mit ihm spricht. Sie können dasselbe Zertifikat (mit zugehörigem privaten Schlüssel) verwenden, das auf mehreren Webservern in einem Web-Cluster den richtigen Namen trägt, sofern sie sich hinter einem Lastenausgleich befinden.

Sie können auch ein SSL-terminierendes Lastenausgleichsmodul verwenden. In diesem Fall würden Sie das Zertifikat (mit dem zugehörigen privaten Schlüssel) auf dem Lastenausgleichsmodul verwenden, und die Webserver benötigen keine Zertifikate, da sie nichts damit zu tun haben das SSL.


11
2018-04-27 13:44





Unser Setup hat sehr gut funktioniert:

https trafic
     |
   pound
     |
http traffic
     |
  haproxy
     |
http traffic 
     |
web server 1 ... web server n

Auf diese Weise entschlüsselt Pfund den Verkehr, von hier an ist alles gerade http. Vorteile: weniger Konfiguration auf den Webservern, ein Tool für jeden Job. Sie können die CPU auf dem Killercomputer maximieren und die Webserver "normal" halten. Sie sollten mindestens zwei von jedem erhalten (Pfund, Haproxy, Webserver), wenn Uptime wichtig ist.


5
2017-12-08 21:02



Dies setzt auch voraus, dass sich Ihre Back-End-Computer in einem sicheren privaten Netzwerk befinden. In der Cloud ist das nicht immer der Fall ... - Alexis Wilke


AFAIR, Sie können dasselbe Zertifikat auf jedem Server verwenden. Sie können auch einen SSL-Beschleuniger implementieren und den gesamten SSL-Datenverkehr auf diesen Server verlagern.


1
2017-09-25 16:17