1. 首页
  2. 问答
  3. 如何在负载均衡环境中设置SSL?

如何在负载均衡环境中设置SSL?

2009-05-04 84 views
7

这是我们目前的基础设施:如何在负载均衡环境中设置SSL?

  1. 2落后共享负载平衡器
  2. DNS指向负载平衡器
  3. 的web应用程序在asp.net做Web服务器,与WCF服务

我的问题是如何设置SSL证书来支持https连接。

这里有2个想法,我有:

  1. SSL证书终止在负载平衡器。负载均衡器后面的安全/不安全通信将被转发到2个不同的端口。
    亲:只因为我水平翻转
    利弊需要1个证书:我要检查安全或不通过检查哪一个端口的请求 从哪里来安全。不相当有手感设计,以我

    WCF权当IIS被绑定2个不同的端口
    according to this

  2. SSL证书终止在每个服务器将无法正常工作?
    缺点:需要添加更多的证书规模水平

感谢

来源

2009-05-04 ronaldwidha

回答

4

在负载平衡器绝对终止SSL!任何背后的东西都不应该在外面看到。为什么两个端口不能安全/不安全地工作?

来源

2009-05-04 05:57:17

+0

为了说明起见,如果不安全停留在端口80上并安全转发到随机端口:x。这是否意味着直接跳转到http:// domain:x绕过安全证书?用户可能没有意识到他们正在发送未加密的通信。 – ronaldwidha 2009-05-04 06:56:16

+0

用户不会看到防火墙后面的地址,因为防火墙充当一种代理 - 它与后面的机器通信,或者来回路由和转发数据包。 (这并不是真的那么正确,但它是对用户将看到的内容的正确描述) – blowdart 2009-05-04 11:17:51

+2

检查PCI/DSS标准,因为这会让您容易受到网络中拦截的流量的攻击。 – Falkayn 2011-05-16 02:32:52

1

最有可能的是,您不需要两个端口。只需让负载平衡器上的SSL虚拟服务器为请求添加HTTP标头并检查它即可。这就是我们用Zeus ZXTM 5.1所做的。

来源

2009-05-04 06:31:59 Chris

3

您实际上并不需要更多证书。由于外部看到的FQDN是相同的,因此您在每台计算机上使用相同的证书。

这意味着WCF(如果您使用的话)将工作。如果您在消息级而不是传输级进行签名/加密,则带有终止于外部负载平衡器的SSL的WCF会很痛苦。

来源

2009-05-04 06:37:23 blowdart

0

你不让每一个网站的证书有这样的事情通配符证书。但它必须安装在每台服务器上。 (假设你使用的是子域名,如果不是,那么你可以在机器上重复使用相同的证书)

但是如果不是为了简单配置,我可能会把证书放在负载平衡器上。

来源

2009-05-04 07:10:51

相关问题

 相关问题