क्या एक लोड बैलेंसर के पीछे प्रत्येक सर्वर को अपने स्वयं के एसएसएल प्रमाणपत्र की आवश्यकता होती है?


66

यदि आपके पास लोड बैलेंसर (जैसे हैप्रोक्सी) के पीछे 5 वेब सर्वर हैं और वे एक ही डोमेन के लिए सामग्री परोस रहे हैं, तो क्या आपको सभी सर्वरों के लिए SSL प्रमाणपत्र की आवश्यकता है, या आप प्रत्येक सर्वर पर एक ही प्रमाण पत्र का उपयोग कर सकते हैं?

मुझे पता है कि आप सभी SSL अनुरोधों को एक विशिष्ट सर्वर पर रख सकते हैं, लेकिन इसके लिए वितरित सत्र जानकारी की आवश्यकता होती है और उम्मीद है कि यह उस पर नहीं आती है।

जवाबों:


66

यदि आपके पास लोड बैलेंसर (...) के पीछे 5 वेब सर्वर हैं, तो क्या आपको सभी सर्वरों के लिए SSL प्रमाणपत्र की आवश्यकता है,

निर्भर करता है।

यदि आप टीसीपी या आईपी लेयर (OSI लेयर 4/3, उर्फ़ L4, L3) पर अपना लोड बैलेंस करते हैं, तो हाँ, सभी HTTP सर्वरों में SSL प्रमाणपत्र स्थापित होना आवश्यक है।

यदि आप HTTPS लेयर (L7) पर बैलेंस लोड करते हैं, तो आप सामान्यतः लोड बैलेंसर पर प्रमाणपत्र स्थापित करेंगे, और लोड बैलेंसर और वेबसर्वर के बीच स्थानीय नेटवर्क पर सादे अन-एन्क्रिप्टेड HTTP का उपयोग करेंगे (सर्वश्रेष्ठ प्रदर्शन के लिए) वेब सर्वर)।

यदि आपके पास एक बड़ा इंस्टॉलेशन है, तो आप इंटरनेट कर सकते हैं -> L3 लोड बैलेंसिंग -> L7 SSL सांद्रता की परत -> लोड बैलेंसर्स -> L7 HTTP एप्लिकेशन सर्वर की परत ...

हैप्रेसी के लेखक विली तरारेयू के पास HTTP / HTTPS को संतुलित करने के विहित तरीकों का वास्तव में अच्छा अवलोकन है ।

यदि आप प्रत्येक सर्वर पर एक प्रमाण पत्र स्थापित करते हैं, तो एक प्रमाण पत्र प्राप्त करना सुनिश्चित करें जो इस का समर्थन करता है। आम तौर पर प्रमाण पत्र कई सर्वरों पर स्थापित किए जा सकते हैं, जब तक कि सर्वर केवल एक पूरी तरह से योग्य डोमेन नाम के लिए यातायात की सेवा करते हैं। लेकिन सत्यापित करें कि आप क्या खरीद रहे हैं, प्रमाणपत्र जारीकर्ता एक भ्रमित उत्पाद पोर्टफोलियो हो सकता है ...


1
अब आप कई जारीकर्ताओं से विषय वैकल्पिक नाम के साथ प्रमाण पत्र खरीद सकते हैं। SAN फ़ील्ड एक प्रमाणपत्र की अनुमति देता है जो कई FQDNs के लिए मान्य है। चेतावनी ... पुराने वेब क्लाइंट (IE6!) के साथ कुछ समस्याएँ हो सकती हैं, कुछ उदाहरणों में क्लाइंट SAN विशेषता को नहीं पढ़ेगा यदि विषय विशेषता में एक अमान्य FQDN है।
रयान फिशर

4
विली तरारेउ द्वारा उस उत्कृष्ट लेख से जोड़ने के लिए 1 प्लस।
नाथन हार्टले

बड़े प्रतिष्ठानों के माध्यम में, बिग आईपी या अन्य लोड-बैलेंसर (ऊपर सूचीबद्ध दूसरा विकल्प) पर एसएसएल ऑफलोडिंग कर रहे हैं, तेज, अधिक स्केलेबल, कम जटिल (आमतौर पर एलबी पर एक प्रमाण पत्र) और प्रमाण पत्र से कम महंगा होने के फायदे हैं। लाइसेंसिंग पक्ष (मल्टी-डोमेन और सैन सेर को मूल्य मिलता है)।
डारेल टीग ने

15

आपको प्रत्येक सर्वर पर एक ही प्रमाण पत्र का उपयोग करने में सक्षम होना चाहिए। यदि आपकी वेब साइट www.gathright.com है, तो आपको उस FQDN के लिए एक प्रमाणपत्र खरीदने में सक्षम होना चाहिए। फिर आप इसे अपने प्रत्येक 5 सर्वर पर बैलेंसर के पीछे स्थापित करते हैं।

वैकल्पिक रूप से, आप प्रत्येक वेब सर्वर के लिए एक अलग प्रमाणपत्र प्राप्त कर सकते हैं, लेकिन "www.gathright.com" को "विषय वैकल्पिक नाम" के रूप में शामिल कर सकते हैं, जिसका अर्थ है कि प्रत्येक 5 सेर्ट्स एसएसएल के लिए सामान्य FQDN के साथ-साथ एसएसएल के लिए मान्य होगा। विशिष्ट सर्वर FQDNs के लिए।


6
इस प्रतिक्रिया को स्पष्ट करने के लिए, आप उस सर्वर पर प्रमाणपत्र स्थापित करेंगे जिसने अनुरोध उत्पन्न किया था। फिर आप अन्य सर्वर पर आयात करने के लिए निजी कुंजी के साथ उस सर्वर से प्रमाण निर्यात करेंगे।
चार्ल्स

डी 'ओह! हाँ, मैं यह बताना भूल गया कि आपको निजी कुंजी निर्यात करने की आवश्यकता है। धन्यवाद, चार्ल्स।
रयान फिशर

लेकिन अगर मैं प्रत्येक सर्वर पर सैन सेर्ट्स का उपयोग करता हूं, तो क्या उन्हें प्रत्येक समान निजी कुंजी की आवश्यकता है?
अनसोचेव

@anschoewe, नहीं। वे प्रत्येक की अपनी निजी कुंजी होगी और यदि आपके पास 5 कंप्यूटर हैं तो आपको इसकी कीमत x5 चुकानी होगी।
एलेक्सिस विलके

1
@AlexisWilke - यह निश्चित नहीं है कि इसका क्या मतलब है: यदि वे एक SAN प्रमाण पत्र का उपयोग करते हैं, तो उन्हें केवल एक प्रमाण पत्र की आवश्यकता होती है, और इसलिए एक कुंजी, और इसलिए 1 मूल्य। एक या एक से अधिक डोमेन की सेवा करने के लिए SAN सर्वर का उपयोग कई सर्वरों पर किया जा सकता है; डोमेन जोड़ते समय कीमत बढ़ जाती है , सर्वर
dwanderson

12

हाँ , आप अपने सभी सर्वरों पर एक ही प्रमाण पत्र और संबंधित निजी कुंजी का उपयोग कर सकते हैं, यदि वे एक लोड बैलेंसर के पीछे हैं या रिवर्स प्रॉक्सी को लोड कर रहे हैं और यदि वे सभी एक ही डोमेन के लिए सामग्री परोस रहे हैं।

प्रमाण पत्र प्राधिकारी द्वारा हस्ताक्षरित होने पर प्रमाण पत्र, यह प्रमाणित करता है कि प्रमाणपत्र प्राधिकारी ने प्रमाण पत्र पर सूचीबद्ध नाम का सत्यापन किया । वेबसाइटों के लिए प्रमाणपत्र के लिए, इसका मतलब है कि वेबसाइट का डोमेन नाम। आपका ब्राउज़र को उम्मीद है कि सर्वर यह करने के लिए बात कर रही है, अगर इस पर HTTPS बात कर रही है, एक प्रमाण पत्र एक ही असर प्रस्तुत नाम डोमेन नाम है कि ब्राउज़र सोचता है कि यह करने के लिए बात कर रही है के रूप में। (उदाहरण के लिए, VeriSign के bankofamerica.com के लिए Hacker Joe के प्रमाण पत्र पर हस्ताक्षर करने की संभावना नहीं है। इसलिए भले ही Hacker Joe आपके और bankofamerica.com के बीच ट्रैफ़िक को बाधित करने का प्रबंधन करता है, लेकिन Hacker Joe के पास bankofamerica.com और आपके ब्राउज़र में एक हस्ताक्षरित प्रमाणपत्र नहीं होगा। सभी जगह बड़े लाल चेतावनी झंडे लगाएंगे। '

क्या मायने रखती है वह यह है कि नाम प्रमाण पत्र पर डोमेन नाम है कि ब्राउज़र सोचता है कि यह करने के लिए बात कर रही है मेल खाता है। एक वेब क्लस्टर में कई वेब सर्वरों पर सही नाम रखने के लिए आप एक ही प्रमाण पत्र (संबद्ध निजी कुंजी के साथ) का उपयोग कर सकते हैं, इसलिए जब तक वे एक लोड बैलेंसर के पीछे नहीं होते हैं।

आप एक एसएसएल-टर्मिंग लोड बैलेंसर का भी उपयोग कर सकते हैं, जिस स्थिति में आप लोड बैलेंसर पर प्रमाण पत्र (संबद्ध निजी कुंजी के साथ) का उपयोग करेंगे, और वेब सर्वर को प्रमाण पत्र की आवश्यकता नहीं होगी क्योंकि उनके पास कुछ भी नहीं होगा। एसएसएल।


6

हमारे सेटअप ने बहुत अच्छा काम किया है:

https trafic
     |
   pound
     |
http traffic
     |
  haproxy
     |
http traffic 
     |
web server 1 ... web server n

इस तरह पाउंड ट्रैफ़िक को कम कर देता है, यहाँ से सब कुछ सीधा http है। लाभ: वेब सर्वर पर कम कॉन्फ़िगरेशन, प्रत्येक कार्य के लिए एक उपकरण। आप पाउंड मशीन पर सीपीयू को अधिकतम कर सकते हैं, और वेब सर्वर को "सामान्य" रख सकते हैं। यदि अपटाइम महत्वपूर्ण है तो आपको कम से कम दो (पाउंड, हैप्रोक्सी, वेब सर्वर) प्राप्त करने चाहिए।


2
यह भी मानता है कि आपके बैकएंड कंप्यूटर एक सुरक्षित निजी नेटवर्क पर हैं। बादल में हमेशा ऐसा नहीं होता है ...
एलेक्सिस विल्के

3

AFAIR, आप प्रत्येक सर्वर पर एक ही प्रमाण पत्र का उपयोग कर सकते हैं। आप एसएसएल त्वरक को भी लागू कर सकते हैं और एसएसएल ट्रैफिक के सभी को लोड कर सकते हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.