सवाल क्या लोड बैलेंसर के पीछे प्रत्येक सर्वर को अपना स्वयं का SSL प्रमाणपत्र चाहिए?


यदि आपके पास लोड बैलेंसर (जैसे हैप्रोक्सी) के पीछे 5 वेब सर्वर हैं और वे एक ही डोमेन के लिए सामग्री की सेवा कर रहे हैं, तो क्या आपको सभी सर्वरों के लिए SSL प्रमाणपत्र की आवश्यकता है, या आप प्रत्येक सर्वर पर एक ही प्रमाणपत्र का उपयोग कर सकते हैं?

मुझे पता है कि आप सभी एसएसएल अनुरोधों को किसी विशिष्ट सर्वर पर डाल सकते हैं, लेकिन इसके लिए वितरित सत्र जानकारी की आवश्यकता होती है और उम्मीद है कि यह उस पर नहीं आती है।


60
2017-09-25 16:08


मूल




जवाब:


यदि आपके पास लोड बैलेंसर के पीछे 5 वेब सर्वर हैं (...)   क्या आपको सभी सर्वरों के लिए एसएसएल प्रमाण पत्र की आवश्यकता है,

निर्भर करता है।

यदि आप टीसीपी या आईपी परत (ओएसआई परत 4/3, ए.के.ए. एल 4, एल 3) पर अपना भार संतुलन करते हैं, तो हाँ, सभी HTTP सर्वरों को SSL प्रमाणपत्र स्थापित करने की आवश्यकता होगी।

यदि आप एचटीटीपीएस परत (एल 7) पर संतुलन लोड करते हैं, तो आप आमतौर पर लोड बैलेंसर पर प्रमाण पत्र स्थापित करेंगे, और लोड बैलेंसर और वेबसर्वर के बीच स्थानीय नेटवर्क पर सादे अन-एन्क्रिप्टेड HTTP का उपयोग करें (सर्वोत्तम प्रदर्शन के लिए वेब सर्वर)।

अगर आपके पास एक है विशाल स्थापना, तो आप इंटरनेट कर रहे हैं -> एल 3 लोड संतुलन -> एल 7 एसएसएल सांद्रता की परत -> लोड बैलेंसर्स -> एल 7 HTTP अनुप्रयोग सर्वर की परत ...

हैप्रोक्सी के लेखक विली ताररेउ का वास्तव में एक अच्छा अवलोकन है लोड संतुलन HTTP / HTTPS के कैननिकल तरीके

यदि आप प्रत्येक सर्वर पर प्रमाणपत्र स्थापित करते हैं, तो सुनिश्चित करें कि यह प्रमाण पत्र प्राप्त करने के लिए सुनिश्चित करें। आम तौर पर कई सर्वरों पर प्रमाण पत्र स्थापित किए जा सकते हैं, जब तक कि सर्वर सभी एक पूर्ण योग्यता वाले डोमेन नाम के लिए यातायात प्रदान करते हैं। लेकिन सत्यापित करें कि आप क्या खरीद रहे हैं, सर्टिफिकेट जारीकर्ताओं के पास एक भ्रमित उत्पाद पोर्टफोलियो हो सकता है ...


62
2017-09-25 16:30



आप अब कई जारीकर्ताओं से विषय वैकल्पिक नाम के साथ प्रमाण पत्र खरीद सकते हैं। SAN फ़ील्ड एक प्रमाणपत्र की अनुमति देता है जो एकाधिक FQDNs के लिए मान्य है। चेतावनी ... पुराने वेब क्लाइंट्स (आईई 6!) के साथ कुछ समस्याएं हो सकती हैं, कुछ मामलों में क्लाइंट SAN विशेषता को नहीं पढ़ेगा यदि विषय विशेषता में एक अवैध FQDN है। - Ryan Fisher
विली ताररेउ द्वारा उस उत्कृष्ट लेख को जोड़ने के लिए प्लस 1। - Nathan Hartley
मध्यम से बड़े इंस्टॉलेशन में, बिग आईपी या अन्य लोड-बैलेंसर (ऊपर सूचीबद्ध दूसरा विकल्प) में एसएसएल ऑफलोडिंग करने के लिए तेज़, अधिक स्केलेबल, कम जटिल (आमतौर पर एलबी पर एक प्रमाणपत्र) और प्रमाणपत्र से कम महंगा होने का लाभ होता है लाइसेंसिंग पक्ष (बहु-डोमेन और सैन कर्ट मूल्यवान हो जाते हैं)। - Darrell Teague


आप प्रत्येक सर्वर पर एक ही प्रमाणपत्र का उपयोग करने में सक्षम होना चाहिए। यदि आपकी वेबसाइट www.gathright.com है, तो आप उस FQDN के लिए एक प्रमाणपत्र खरीदने में सक्षम होना चाहिए। फिर आप बैलेंसर के पीछे अपने प्रत्येक 5 सर्वर पर इसे इंस्टॉल करते हैं।

वैकल्पिक रूप से, आप प्रत्येक वेब सर्वर के लिए एक अलग प्रमाण प्राप्त कर सकते हैं, लेकिन "विषय वैकल्पिक नाम" के रूप में 'www.gathright.com' शामिल करें, जिसका अर्थ है कि प्रत्येक 5 सीर्ट एसएसएल के लिए सामान्य एफक्यूडीएन के साथ-साथ एसएसएल के लिए मान्य होगा विशिष्ट सर्वर FQDNs के लिए।


13
2017-09-25 16:18



इस प्रतिक्रिया को स्पष्ट करने के लिए, आप सर्वर पर प्रमाण स्थापित करेंगे जो अनुरोध उत्पन्न करता है। फिर आप अन्य सर्वरों पर इसे आयात करने के लिए उस कुंजी से निजी कुंजी के साथ प्रमाण निर्यात करेंगे। - Charles
डी 'ओह! हाँ, मैं यह उल्लेख करना भूल गया था कि आपको निजी कुंजी निर्यात करने की आवश्यकता है। धन्यवाद, चार्ल्स। - Ryan Fisher
लेकिन अगर मैं प्रत्येक सर्वर पर SAN certs का उपयोग करता हूं, तो क्या उन्हें प्रत्येक को एक ही निजी कुंजी की आवश्यकता होती है? - anschoewe
@anschoewe, नहीं। उनके पास प्रत्येक की अपनी निजी कुंजी होगी और यदि आपके पास 5 कंप्यूटर हैं तो आपको x5 कीमत का भुगतान करना होगा। - Alexis Wilke
@AlexisWilke - यह सुनिश्चित नहीं है कि इसका क्या अर्थ है: यदि वे एक SAN प्रमाण का उपयोग करते हैं, तो उन्हें केवल एक प्रमाण की आवश्यकता होती है, और इसलिए एक कुंजी, और इसलिए 1 मूल्य। एक या अधिक डोमेन की सेवा के लिए कई सर्वरों पर SAN Certs का उपयोग किया जा सकता है; जोड़ते समय कीमत बढ़ जाती है डोमेन, जोड़ते समय नहीं सर्वर - dwanderson


हाँ, यदि आप लोड बैलेंसर के पीछे हैं या लोड संतुलन रिवर्स प्रॉक्सी लोड करते हैं और यदि वे सभी एक ही डोमेन के लिए सामग्री की सेवा कर रहे हैं, तो आप अपने सभी सर्वरों पर एक ही प्रमाणपत्र और संबंधित निजी कुंजी का उपयोग कर सकते हैं।

प्रमाण पत्र, प्रमाण पत्र प्राधिकरण द्वारा हस्ताक्षरित होने पर, जोर देते हैं कि प्रमाण पत्र प्राधिकरण ने सत्यापित किया है नाम प्रमाण पत्र पर सूचीबद्ध है। वेबसाइटों के लिए प्रमाण पत्र के लिए, इसका अर्थ वेबसाइट का डोमेन नाम है। आपका ब्राउज़र उम्मीद करता है कि जिस सर्वर से यह बात कर रहा है, अगर यह HTTPS पर बात कर रहा है, तो उसे प्रमाण पत्र प्रस्तुत करता है नाम डोमेन नाम के रूप में ब्राउज़र सोचता है कि यह बात कर रहा है। (उदाहरण के लिए, VeriSign बैंकofamerica.com के लिए हैकर जो के प्रमाण पत्र पर हस्ताक्षर करने की संभावना नहीं है। इसलिए यदि हैकर जो आपके और bankofamerica.com के बीच यातायात को अवरुद्ध करने का प्रबंधन करता है, तो हैकर जो के पास bankofamerica.com और आपके ब्राउज़र के लिए एक हस्ताक्षरित प्रमाणपत्र नहीं होगा जगह पर बड़ी लाल चेतावनी झंडे लगाएंगे।)

क्या मायने रखता है कि नाम सर्टिफिकेट पर उस डोमेन नाम से मेल खाता है जिसे ब्राउज़र सोचता है कि यह बात कर रहा है। आप वेब क्लस्टर में एकाधिक वेब सर्वरों में सही नाम वाले एक ही प्रमाणपत्र (संबंधित निजी कुंजी के साथ) का उपयोग कर सकते हैं, जब तक वे लोड बैलेंसर के पीछे हों।

आप एक एसएसएल-टर्मिनिंग लोड बैलेंसर का भी उपयोग कर सकते हैं, इस मामले में आप लोड बैलेंसर पर प्रमाणपत्र (संबंधित निजी कुंजी के साथ) का उपयोग करेंगे, और वेब सर्वर को प्रमाण पत्र की आवश्यकता नहीं होगी क्योंकि उनके साथ कुछ भी नहीं होगा एसएसएल


11
2018-04-27 13:44





हमारे सेटअप ने बहुत अच्छी तरह से काम किया है:

https trafic
     |
   pound
     |
http traffic
     |
  haproxy
     |
http traffic 
     |
web server 1 ... web server n

इस तरह पाउंड यातायात को अस्वीकार करता है, यहां से सब कुछ सीधे http पर है। फायदे: वेब सर्वर पर कम कॉन्फ़िगरेशन, प्रत्येक नौकरी के लिए एक उपकरण। आप पाउंड मशीन पर सीपीयू को अधिकतम कर सकते हैं, और वेब सर्वर को "सामान्य" रख सकते हैं। अपटाइम महत्वपूर्ण है, तो आपको कम से कम दो पाउंड, पाउंड, हैप्रोक्सी, वेब सर्वर) प्राप्त करना चाहिए।


5
2017-12-08 21:02



यह भी मानता है कि आपके बैकएंड कंप्यूटर एक सुरक्षित निजी नेटवर्क पर हैं। बादल में जो हमेशा मामला नहीं है ... - Alexis Wilke


AFAIR, आप प्रत्येक सर्वर पर एक ही प्रमाण का उपयोग कर सकते हैं। आप एक एसएसएल त्वरक को भी कार्यान्वित कर सकते हैं और इसके सभी एसएसएल यातायात को ऑफ़लोड कर सकते हैं।


1
2017-09-25 16:17