Load Balancer e due macchine: quanti certificati SSL ho bisogno?

3

Abbiamo un sistema di bilanciamento del carico rivolto verso Internet.

Sta bilanciamento del carico verso due sistemi dietro di esso nel back-end con apache in esecuzione.

Quanti certificati SSL devo acquistare? - Uno solo per il bilanciamento del carico - Uno per il bilanciamento del carico e per ogni istanza del server uno (3 certs) + - Solo per le istanze del server (2 certs) - I certificati possono essere riutilizzati

Inoltre, posso riutilizzare il certificato del server come certificato client per effettuare chiamate ad altri backend dai server Apache?

    
posta fablife 25.04.2014 - 00:01
fonte

2 risposte

8

Il punto di un bilanciatore del carico è che tutti i server vengono visualizzati come client. Quindi, indipendentemente da dove gestisci il TLS (sul bilanciatore del carico o sui server delle applicazioni), avrai bisogno di un solo certificato per garantire che nessun browser web mostrerà alcun avviso HTTPS.

Quando i client comunicano solo con il bilanciatore del carico (che gestisce TLS) e si controlla la rete tra il server di bilanciamento del carico e il server di back-end, vi sono pochi motivi per crittografare anche quella connessione. Tuttavia, quando non ti fidi della rete e desideri utilizzare la crittografia tra i server di bilanciamento del carico e di back-end, puoi utilizzare certificati autofirmati. Quando metti tu stesso il certificato sui server, sai che sono affidabili. Quindi pagare una terza parte per firmarli sarebbe abbastanza superfluo.

    
risposta data 25.04.2014 - 00:21
fonte
1

Esistono indirizzi IP virtuali utilizzati da Load Balancer, che eseguono il routing interno ai pool e ai nodi appropriati nel back-end. Ogni indirizzo IP virtuale richiede un certificato SSL / TLS, il che significa che si può avere un indirizzo IP virtuale sul Load Balancer che punta a www.gojack.com - questo richiede un certificato.

Per www.gobrian.com, sarà necessario un altro certificato.

IP virtuale (gojack.com) --- > Jack Pool (bilanciamento del carico) --to - > Nodo1, Nodo2, Nodo3

Il punto è che non è necessario avere un altro certificato per ogni server sul back-end che è nodo1, nodo2, nodo3 in questo contesto. Tuttavia, sarà necessario un nuovo certificato per ogni nuovo sito Web (IP virtuale in questo caso).

Cordiali saluti.

    
risposta data 25.04.2014 - 18:20
fonte

Leggi altre domande sui tag