1. 首頁
  2. 問答
  3. 如何在負載均衡環境中設置SSL?

如何在負載均衡環境中設置SSL?

2009-05-04 76 views
7

這是我們目前的基礎設施:如何在負載均衡環境中設置SSL?

  1. 2落後共享負載平衡器
  2. DNS指向負載平衡器
  3. 的web應用程序在asp.net做Web服務器,與WCF服務

我的問題是如何設置SSL證書來支持https連接。

這裏有2個想法,我有:

  1. SSL證書終止在負載平衡器。負載均衡器後面的安全/不安全通信將被轉發到2個不同的端口。
    親:只因爲我水平翻轉
    利弊需要1個證書:我要檢查安全或不通過檢查哪一個端口的請求 從哪裏來安全。不相當有手感設計,以我

    WCF權當IIS被綁定2個不同的端口
    according to this

  2. SSL證書終止在每個服務器將無法正常工作?
    缺點:需要添加更多的證書規模水平

感謝

來源

2009-05-04 ronaldwidha

回答

4

在負載平衡器絕對終止SSL!任何背後的東西都不應該在外面看到。爲什麼兩個端口不能安全/不安全地工作?

來源

2009-05-04 05:57:17

+0

爲了說明起見,如果不安全停留在端口80上並安全轉發到隨機端口:x。這是否意味着直接跳轉到http:// domain:x繞過安全證書?用戶可能沒有意識到他們正在發送未加密的通信。 – ronaldwidha 2009-05-04 06:56:16

+0

用戶不會看到防火牆後面的地址,因爲防火牆充當一種代理 - 它與後面的機器通信,或者來回路由和轉發數據包。 (這並不是真的那麼正確,但它是對用戶將看到的內容的正確描述) – blowdart 2009-05-04 11:17:51

+2

檢查PCI/DSS標準,因爲這會讓您容易受到網絡中攔截的流量的攻擊。 – Falkayn 2011-05-16 02:32:52

1

最有可能的是,您不需要兩個端口。只需讓負載平衡器上的SSL虛擬服務器爲請求添加HTTP標頭並檢查它即可。這就是我們用Zeus ZXTM 5.1所做的。

來源

2009-05-04 06:31:59 Chris

3

您實際上並不需要更多證書。由於外部看到的FQDN是相同的,因此您在每臺計算機上使用相同的證書。

這意味着WCF(如果您使用的話)將工作。如果您在消息級而不是傳輸級進行簽名/加密,則帶有終止於外部負載平衡器的SSL的WCF會很痛苦。

來源

2009-05-04 06:37:23 blowdart

0

你不讓每一個網站的證書有這樣的事情通配符證書。但它必須安裝在每臺服務器上。 (假設你使用的是子域名,如果不是,那麼你可以在機器上重複使用相同的證書)

但是如果不是爲了簡單配置,我可能會把證書放在負載平衡器上。

來源

2009-05-04 07:10:51

相關問題

 相關問題