Equilibrador de carga y dos máquinas: ¿cuántos certificados SSL necesito?

El punto de un equilibrador de carga es que todos los servidores aparecen ante el cliente como uno solo. Así que no importa dónde maneje el TLS (en el equilibrador de carga o en los servidores de aplicaciones), solo necesitará un certificado para asegurarse de que ningún navegador web muestre ninguna advertencia de HTTPS.

Cuando los clientes se comunican solo con el equilibrador de carga (que maneja TLS) y usted controla la red entre el equilibrador de carga y los servidores backend, hay pocas razones para cifrar esa conexión también. Pero cuando no confía en la red y desea utilizar el cifrado entre los servidores de equilibrador de carga y de back-end, puede usar certificados autofirmados para eso. Cuando usted mismo coloca el certificado en los servidores, sabe que son confiables. Por lo tanto, pagar a un tercero para firmarlos sería bastante superfluo.

Los equilibradores de carga utilizan direcciones IP virtuales, que realizan enrutamiento interno a los grupos y nodos apropiados en el back-end. Cada dirección IP virtual necesitará un certificado SSL / TLS, lo que significa que puede tener una dirección IP virtual en el equilibrador de carga que apunta a www.gojack.com; esto requiere un certificado.

Para www.gobrian.com, se necesitará otro certificado.

IP virtual (gojack.com) --- > Jack Pool (equilibrio de carga) --to - > Nodo1, Nodo2, Nodo3

El punto es que no necesita tener otro certificado para cada servidor en el back-end, que es nodo1, nodo2, nodo3 en este contexto. Sin embargo, se necesitará un nuevo certificado para cada sitio web nuevo (IP virtual en este caso).

Rgds.