回答:
ロードバランサーの背後に5つのWebサーバーがある場合(...)すべてのサーバーにSSL証明書が必要ですか、
場合によります。
TCPまたはIPレイヤー(OSIレイヤー4/3、別名L4、L3)で負荷分散を行う場合、すべてのHTTPサーバーにSSL証明書をインストールする必要があります。
HTTPSレイヤー(L7)で負荷分散を行う場合、通常は証明書をロードバランサーのみにインストールし、ロードバランサーとWebサーバー間のローカルネットワーク上でプレーンな暗号化されていないHTTPを使用します( Webサーバー)。
大規模なインストールがある場合は、インターネット-> L3ロードバランシング-> L7 SSLコンセントレーターのレイヤー->ロードバランサー-> L7 HTTPアプリケーションサーバーのレイヤー...
HAProxyの作者であるWilly Tarreauは、HTTP / HTTPSのロードバランシングの標準的な方法について、本当に素晴らしい概要を説明しています。
各サーバーに証明書をインストールする場合、これをサポートする証明書を取得してください。通常、すべてのサーバーが1つの完全修飾ドメイン名のトラフィックを処理する限り、証明書は複数のサーバーにインストールできます。しかし、あなたが購入しているものを確認してください、証明書発行者は紛らわしい製品ポートフォリオを持つことができます...
各サーバーで同じ証明書を使用できるはずです。Webサイトがwww.gathright.comの場合、そのFQDNの証明書を購入できるはずです。次に、バランサーの背後にある5つのサーバーのそれぞれにインストールします。
または、Webサーバーごとに個別の証明書を取得できますが、「Subject Alternative Name」として「www.gathright.com」を含めることができます。つまり、5つの証明書はそれぞれ、その一般的なFQDNとSSL特定のサーバーのFQDNに。
はい、ロードバランサーまたは負荷分散リバースプロキシの背後にあり、すべてが同じドメインのコンテンツを提供している場合、すべてのサーバーで同じ証明書と関連付けられた秘密キーを使用できます。
認証局によって署名された証明書は、認証局が証明書に記載されている名前を検証したことを表明します。Webサイトの証明書の場合、それはWebサイトのドメイン名を意味します。ブラウザは、HTTPSを介して通信している場合、通信しているサーバーが、ブラウザが通信していると考えるドメイン名と同じ名前の証明書を提示することを想定しています。(たとえば、VeriSignはbankofamerica.comのHacker Joeの証明書に署名する可能性が低いため、たとえHacker Joeがあなたとbankofamerica.com間のトラフィックをインターセプトしたとしても、Hacker Joeはbankofamerica.comおよびブラウザーの署名付き証明書を取得できません。あらゆる場所に大きな赤い警告フラグを立てます。)
重要なのはということです名前証明書のブラウザは、それがに話していると考えているドメイン名と一致します。ロードバランサーの背後にある限り、Webクラスター内の複数のWebサーバー間で正しい名前を付けた同じ証明書(秘密キーが関連付けられている)を使用できます。
また、SSL終了ロードバランサーを使用することもできます。この場合、ロードバランサーで(関連付けられた秘密キーを含む)証明書を使用し、Webサーバーは何の関係もないため、証明書を必要としません。 SSL。
私たちのセットアップは非常にうまく機能しています:
https trafic
|
pound
|
http traffic
|
haproxy
|
http traffic
|
web server 1 ... web server n
この方法でポンドはトラフィックを復号化します。ここからはすべてがhttpになります。利点:Webサーバーの構成が少なく、各ジョブに1つのツールがあります。ポンドマシンのCPUを最大限に使用し、Webサーバーを「正常」に保つことができます。稼働時間が重要な場合は、少なくとも2つ(ポンド、ハプロキシ、Webサーバー)を取得する必要があります。