Load Balancer e due macchine: quanti certificati SSL ho bisogno?

Il punto di un bilanciatore del carico è che tutti i server vengono visualizzati come client. Quindi, indipendentemente da dove gestisci il TLS (sul bilanciatore del carico o sui server delle applicazioni), avrai bisogno di un solo certificato per garantire che nessun browser web mostrerà alcun avviso HTTPS.

Quando i client comunicano solo con il bilanciatore del carico (che gestisce TLS) e si controlla la rete tra il server di bilanciamento del carico e il server di back-end, vi sono pochi motivi per crittografare anche quella connessione. Tuttavia, quando non ti fidi della rete e desideri utilizzare la crittografia tra i server di bilanciamento del carico e di back-end, puoi utilizzare certificati autofirmati. Quando metti tu stesso il certificato sui server, sai che sono affidabili. Quindi pagare una terza parte per firmarli sarebbe abbastanza superfluo.

Esistono indirizzi IP virtuali utilizzati da Load Balancer, che eseguono il routing interno ai pool e ai nodi appropriati nel back-end. Ogni indirizzo IP virtuale richiede un certificato SSL / TLS, il che significa che si può avere un indirizzo IP virtuale sul Load Balancer che punta a www.gojack.com - questo richiede un certificato.

Per www.gobrian.com, sarà necessario un altro certificato.

IP virtuale (gojack.com) --- > Jack Pool (bilanciamento del carico) --to - > Nodo1, Nodo2, Nodo3

Il punto è che non è necessario avere un altro certificato per ogni server sul back-end che è nodo1, nodo2, nodo3 in questo contesto. Tuttavia, sarà necessario un nuovo certificato per ogni nuovo sito Web (IP virtuale in questo caso).

Cordiali saluti.