Equilibrador de carga y dos máquinas: ¿cuántos certificados SSL necesito?

3

Tenemos un equilibrador de carga frente a Internet.

Está equilibrando la carga hacia dos sistemas detrás de él en el back-end que ejecuta apache.

¿Cuántos certificados SSL necesito comprar? - Uno solo para el equilibrador de carga - Uno para el equilibrador de carga y para cada instancia de servidor uno (3 certificados) + - Solo para las instancias del servidor (2 certificados). - Los certificados pueden ser reutilizados

Además, ¿puedo reutilizar el certificado del servidor como un certificado del cliente para hacer llamadas a otros backends desde los servidores apache?

    
pregunta fablife 25.04.2014 - 00:01
fuente

2 respuestas

8

El punto de un equilibrador de carga es que todos los servidores aparecen ante el cliente como uno solo. Así que no importa dónde maneje el TLS (en el equilibrador de carga o en los servidores de aplicaciones), solo necesitará un certificado para asegurarse de que ningún navegador web muestre ninguna advertencia de HTTPS.

Cuando los clientes se comunican solo con el equilibrador de carga (que maneja TLS) y usted controla la red entre el equilibrador de carga y los servidores backend, hay pocas razones para cifrar esa conexión también. Pero cuando no confía en la red y desea utilizar el cifrado entre los servidores de equilibrador de carga y de back-end, puede usar certificados autofirmados para eso. Cuando usted mismo coloca el certificado en los servidores, sabe que son confiables. Por lo tanto, pagar a un tercero para firmarlos sería bastante superfluo.

    
respondido por el Philipp 25.04.2014 - 00:21
fuente
1

Los equilibradores de carga utilizan direcciones IP virtuales, que realizan enrutamiento interno a los grupos y nodos apropiados en el back-end. Cada dirección IP virtual necesitará un certificado SSL / TLS, lo que significa que puede tener una dirección IP virtual en el equilibrador de carga que apunta a www.gojack.com; esto requiere un certificado.

Para www.gobrian.com, se necesitará otro certificado.

IP virtual (gojack.com) --- > Jack Pool (equilibrio de carga) --to - > Nodo1, Nodo2, Nodo3

El punto es que no necesita tener otro certificado para cada servidor en el back-end, que es nodo1, nodo2, nodo3 en este contexto. Sin embargo, se necesitará un nuevo certificado para cada sitio web nuevo (IP virtual en este caso).

Rgds.

    
respondido por el thephoenix 25.04.2014 - 18:20
fuente

Lea otras preguntas en las etiquetas