यदि आपके पास लोड बैलेंसर (जैसे हैप्रोक्सी) के पीछे 5 वेब सर्वर हैं और वे एक ही डोमेन के लिए सामग्री परोस रहे हैं, तो क्या आपको सभी सर्वरों के लिए SSL प्रमाणपत्र की आवश्यकता है, या आप प्रत्येक सर्वर पर एक ही प्रमाण पत्र का उपयोग कर सकते हैं?
मुझे पता है कि आप सभी SSL अनुरोधों को एक विशिष्ट सर्वर पर रख सकते हैं, लेकिन इसके लिए वितरित सत्र जानकारी की आवश्यकता होती है और उम्मीद है कि यह उस पर नहीं आती है।
जवाबों:
यदि आपके पास लोड बैलेंसर (...) के पीछे 5 वेब सर्वर हैं, तो क्या आपको सभी सर्वरों के लिए SSL प्रमाणपत्र की आवश्यकता है,
निर्भर करता है।
यदि आप टीसीपी या आईपी लेयर (OSI लेयर 4/3, उर्फ़ L4, L3) पर अपना लोड बैलेंस करते हैं, तो हाँ, सभी HTTP सर्वरों में SSL प्रमाणपत्र स्थापित होना आवश्यक है।
यदि आप HTTPS लेयर (L7) पर बैलेंस लोड करते हैं, तो आप सामान्यतः लोड बैलेंसर पर प्रमाणपत्र स्थापित करेंगे, और लोड बैलेंसर और वेबसर्वर के बीच स्थानीय नेटवर्क पर सादे अन-एन्क्रिप्टेड HTTP का उपयोग करेंगे (सर्वश्रेष्ठ प्रदर्शन के लिए) वेब सर्वर)।
यदि आपके पास एक बड़ा इंस्टॉलेशन है, तो आप इंटरनेट कर सकते हैं -> L3 लोड बैलेंसिंग -> L7 SSL सांद्रता की परत -> लोड बैलेंसर्स -> L7 HTTP एप्लिकेशन सर्वर की परत ...
हैप्रेसी के लेखक विली तरारेयू के पास HTTP / HTTPS को संतुलित करने के विहित तरीकों का वास्तव में अच्छा अवलोकन है ।
यदि आप प्रत्येक सर्वर पर एक प्रमाण पत्र स्थापित करते हैं, तो एक प्रमाण पत्र प्राप्त करना सुनिश्चित करें जो इस का समर्थन करता है। आम तौर पर प्रमाण पत्र कई सर्वरों पर स्थापित किए जा सकते हैं, जब तक कि सर्वर केवल एक पूरी तरह से योग्य डोमेन नाम के लिए यातायात की सेवा करते हैं। लेकिन सत्यापित करें कि आप क्या खरीद रहे हैं, प्रमाणपत्र जारीकर्ता एक भ्रमित उत्पाद पोर्टफोलियो हो सकता है ...
आपको प्रत्येक सर्वर पर एक ही प्रमाण पत्र का उपयोग करने में सक्षम होना चाहिए। यदि आपकी वेब साइट www.gathright.com है, तो आपको उस FQDN के लिए एक प्रमाणपत्र खरीदने में सक्षम होना चाहिए। फिर आप इसे अपने प्रत्येक 5 सर्वर पर बैलेंसर के पीछे स्थापित करते हैं।
वैकल्पिक रूप से, आप प्रत्येक वेब सर्वर के लिए एक अलग प्रमाणपत्र प्राप्त कर सकते हैं, लेकिन "www.gathright.com" को "विषय वैकल्पिक नाम" के रूप में शामिल कर सकते हैं, जिसका अर्थ है कि प्रत्येक 5 सेर्ट्स एसएसएल के लिए सामान्य FQDN के साथ-साथ एसएसएल के लिए मान्य होगा। विशिष्ट सर्वर FQDNs के लिए।
हाँ , आप अपने सभी सर्वरों पर एक ही प्रमाण पत्र और संबंधित निजी कुंजी का उपयोग कर सकते हैं, यदि वे एक लोड बैलेंसर के पीछे हैं या रिवर्स प्रॉक्सी को लोड कर रहे हैं और यदि वे सभी एक ही डोमेन के लिए सामग्री परोस रहे हैं।
प्रमाण पत्र प्राधिकारी द्वारा हस्ताक्षरित होने पर प्रमाण पत्र, यह प्रमाणित करता है कि प्रमाणपत्र प्राधिकारी ने प्रमाण पत्र पर सूचीबद्ध नाम का सत्यापन किया । वेबसाइटों के लिए प्रमाणपत्र के लिए, इसका मतलब है कि वेबसाइट का डोमेन नाम। आपका ब्राउज़र को उम्मीद है कि सर्वर यह करने के लिए बात कर रही है, अगर इस पर HTTPS बात कर रही है, एक प्रमाण पत्र एक ही असर प्रस्तुत नाम डोमेन नाम है कि ब्राउज़र सोचता है कि यह करने के लिए बात कर रही है के रूप में। (उदाहरण के लिए, VeriSign के bankofamerica.com के लिए Hacker Joe के प्रमाण पत्र पर हस्ताक्षर करने की संभावना नहीं है। इसलिए भले ही Hacker Joe आपके और bankofamerica.com के बीच ट्रैफ़िक को बाधित करने का प्रबंधन करता है, लेकिन Hacker Joe के पास bankofamerica.com और आपके ब्राउज़र में एक हस्ताक्षरित प्रमाणपत्र नहीं होगा। सभी जगह बड़े लाल चेतावनी झंडे लगाएंगे। '
क्या मायने रखती है वह यह है कि नाम प्रमाण पत्र पर डोमेन नाम है कि ब्राउज़र सोचता है कि यह करने के लिए बात कर रही है मेल खाता है। एक वेब क्लस्टर में कई वेब सर्वरों पर सही नाम रखने के लिए आप एक ही प्रमाण पत्र (संबद्ध निजी कुंजी के साथ) का उपयोग कर सकते हैं, इसलिए जब तक वे एक लोड बैलेंसर के पीछे नहीं होते हैं।
आप एक एसएसएल-टर्मिंग लोड बैलेंसर का भी उपयोग कर सकते हैं, जिस स्थिति में आप लोड बैलेंसर पर प्रमाण पत्र (संबद्ध निजी कुंजी के साथ) का उपयोग करेंगे, और वेब सर्वर को प्रमाण पत्र की आवश्यकता नहीं होगी क्योंकि उनके पास कुछ भी नहीं होगा। एसएसएल।
हमारे सेटअप ने बहुत अच्छा काम किया है:
https trafic
|
pound
|
http traffic
|
haproxy
|
http traffic
|
web server 1 ... web server n
इस तरह पाउंड ट्रैफ़िक को कम कर देता है, यहाँ से सब कुछ सीधा http है। लाभ: वेब सर्वर पर कम कॉन्फ़िगरेशन, प्रत्येक कार्य के लिए एक उपकरण। आप पाउंड मशीन पर सीपीयू को अधिकतम कर सकते हैं, और वेब सर्वर को "सामान्य" रख सकते हैं। यदि अपटाइम महत्वपूर्ण है तो आपको कम से कम दो (पाउंड, हैप्रोक्सी, वेब सर्वर) प्राप्त करने चाहिए।