我正在构建一个 F5 负载平衡的 4 服务器集群环境,因此我希望集中我们的证书,以防止需要将它们全部安装在每台服务器上。Windows 2012 / IIS 8 似乎有集中式证书,但这只是为了保护我在 IIS 中的端点的入站流量。
出站流量呢?他们都将向外部实体发起 TLS 事务,因此我需要一种方法将所有这些存储在单个服务器上,并让每个 IIS 框“接入”该证书存储区,以获取发送该证书所需的私钥和公钥TLS 消息。
有什么建议么?
问问题
149 次
1 回答
0
您正在寻找F5 将支持的 HSM,而 IIS 也支持一些主要供应商(Thales 和 Safe-Net 都具有支持 IIS 的 HSM)。根据我的记忆,它们并不便宜,但这正是你想要的。
如果您不想走这条路,您可以选择使用 BIG-IP 作为您的证书存储的肮脏解决方案,并依赖 IIS 池成员上的自签名证书。
入站:传入流量使用有效的 CA 签名证书 SSL 客户端配置文件在 BIG-IP 上终止。BIG-IP 使用通用 SSL 服务器配置文件重新加密到 IIS。不漂亮,但它有效。
出站:您必须使用 BIG-IP 作为 IIS 服务器的默认网关,以便您可以直接从 BIG-IP 而不是 IIS 引导出站 TLS。
Devcentral:SSL 加速 - 我可以加密出站流量吗
希望这可以帮助。
-追赶
于 2015-10-16T20:51:22.460 回答