我有一個我正在構建的F5負載平衡4服務器羣集環境,所以我正在尋求集中我們的證書,以防止需要將它們全部安裝在每臺服務器上。 Windows 2012/IIS 8似乎具有集中式證書,但這只是爲了保護入站流量的IIS端點。IIS中央證書存儲 - 出站流量
怎麼樣出站流量?他們都將啓動TLS交易到外部實體,所以我需要一種方法將所有這些存儲在單個服務器上,並讓每個IIS框「接入」證書存儲區,以發送必需發送的私鑰和公鑰該TLS消息。
有什麼建議嗎?
您正在尋找HSM which the F5 will support,並且IIS還支持一些主要供應商(Thales和Safe-Net均支持IIS支持的HSM)。從我記憶中來看,它們並不便宜,但這正是您要找的。
如果您不想走這條路線,您可以選擇使用BIG-IP作爲您的證書存儲的骯髒解決方案,並依賴IIS池成員上的自簽名證書。
入站:入站流量使用有效的CA簽名證書SSL客戶端配置文件在BIG-IP上終止。 BIG-IP使用通用SSL服務器配置文件重新加密到IIS。不漂亮,但它的作品。
出站:您將不得不使用BIG-IP作爲IIS服務器的默認網關,因此您可以直接從BIG-IP而不是IIS直接發送出站TLS。
Devcentral: SSL Acceleration - Can I encrypt outbound traffic
希望這有助於。
- 階段
這是超出IIS範圍,所以你不應該指望它是免費的。 –
這就是我的想法。我的問題更多的是:是否有可能,比如通過另一種解決方案? – pgarnoldjr