Jika Anda memiliki 5 server web di belakang load balancer (...), apakah Anda memerlukan sertifikat SSL untuk semua server,
Tergantung.
Jika Anda melakukan load balancing pada lapisan TCP atau IP (OSI layer 4/3, alias L4, L3), maka ya, semua server HTTP harus memiliki sertifikat SSL yang diinstal.
Jika Anda memuat saldo pada lapisan HTTPS (L7), maka Anda biasanya akan menginstal sertifikat pada penyeimbang beban saja, dan menggunakan HTTP tidak terenkripsi polos melalui jaringan lokal antara penyeimbang beban dan server web (untuk kinerja terbaik pada server web).
Jika Anda memiliki instalasi besar , maka Anda mungkin melakukan Internet -> load balancing L3 -> lapisan L7 konsentrator SSL -> load balancers -> lapisan server aplikasi HTTP L7 ...
Willy Tarreau, penulis HAProxy, memiliki ikhtisar yang sangat bagus tentang cara kanonik untuk menyeimbangkan HTTP / HTTPS .
Jika Anda menginstal sertifikat di setiap server, maka pastikan untuk mendapatkan sertifikat yang mendukung ini. Biasanya sertifikat dapat diinstal pada beberapa server, selama semua server melayani lalu lintas untuk satu Nama Domain yang Memenuhi Kualifikasi Saja. Tetapi verifikasi apa yang Anda beli, penerbit sertifikat dapat memiliki portofolio produk yang membingungkan ...
Anda harus dapat menggunakan sertifikat yang sama di setiap server. Jika situs web Anda adalah www.gathright.com, Anda seharusnya dapat membeli sertifikat untuk FQDN itu. Kemudian Anda menginstalnya di masing-masing 5 server Anda di belakang penyeimbang.
Atau, Anda dapat memperoleh sertifikat terpisah untuk setiap server web, tetapi sertakan 'www.gathright.com' sebagai "Nama Alternatif Subjek", yang berarti masing-masing dari 5 sertifikat tersebut akan valid untuk SSL ke FQDN umum serta SSL ke FQDN server tertentu.
sumber
YA , Anda dapat menggunakan sertifikat yang sama dan kunci pribadi terkait di semua server Anda, jika mereka berada di belakang load balancer atau proxy penyeimbang beban yang menyeimbangkan dan jika mereka semua menyajikan konten untuk domain yang sama.
Sertifikat, ketika ditandatangani oleh otoritas sertifikat, menyatakan bahwa otoritas sertifikat memverifikasi nama yang tercantum pada sertifikat. Untuk sertifikat untuk situs web, itu berarti nama domain situs web tersebut. Peramban Anda mengharapkan server tempat ia berbicara, jika berbicara melalui HTTPS, menyajikan sertifikat dengan nama yang sama dengan nama domain yang menurut peramban dibicarakan oleh peramban. (Misalnya, VeriSign tidak mungkin menandatangani sertifikat Hacker Joe untuk bankofamerica.com. Jadi, bahkan jika Hacker Joe berhasil mencegat lalu lintas antara Anda dan bankofamerica.com, Hacker Joe tidak akan memiliki sertifikat yang ditandatangani untuk bankofamerica.com dan browser Anda. akan memasang bendera peringatan merah besar di semua tempat.)
Yang penting adalah bahwa nama pada sertifikat cocok dengan nama domain yang menurut peramban itu berbicara. Anda dapat menggunakan sertifikat yang sama (dengan kunci privat terkait) yang memuat nama yang benar di beberapa server web dalam sebuah cluster web, asalkan mereka berada di belakang load balancer.
Anda juga dapat menggunakan penyeimbang beban yang mengakhiri SSL, dalam hal ini Anda akan menggunakan sertifikat (dengan kunci pribadi terkait) pada penyeimbang beban, dan server web tidak akan memerlukan sertifikat karena mereka tidak akan ada hubungannya dengan SSL.
sumber
Pengaturan kami telah bekerja dengan sangat baik:
Dengan cara ini pound mendekripsi lalu lintas, mulai dari sini semuanya langsung http. Keuntungan: lebih sedikit konfigurasi pada server web, satu alat untuk setiap pekerjaan. Anda dapat memaksimalkan CPU pada mesin pound, dan menjaga server web "normal". Anda harus mendapatkan setidaknya dua dari masing-masing (pound, haproxy, server web), jika uptime penting.
sumber
AFAIR, Anda dapat menggunakan sertifikat yang sama di setiap server. Anda juga dapat menerapkan akselerator SSL dan membongkar semua lalu lintas SSL ke sana.
sumber