7

这是我们当前的基础设施:

  1. 共享负载平衡器后面的 2 个 Web 服务器
  2. dns 指向负载均衡器
  3. Web 应用程序在 asp.net 中完成,带有 wcf 服务

我的问题是如何设置 SSL 证书以支持 https 连接。

以下是我的两个想法:

  1. SSL 证书在负载均衡器处终止。负载平衡器后面的安全/不安全通信将被转发到 2 个不同的端口。
    亲: 只需要 1 个证书,因为我水平扩展
    缺点:我必须通过检查请求来自哪个端口来检查安全或不安全。对我来说不太合适

    当 IIS 绑定 2 个不同的端口时,WCF 设计将不起作用
    根据 this

  2. SSL 证书在每台服务器上终止?
    缺点:需要添加更多证书才能横向扩展

谢谢

4

4 回答 4

4

绝对在负载均衡器处终止 SSL !!!后面的任何东西都不应该在外面可见。为什么安全/不安全的两个端口不能正常工作?

于 2009-05-04T05:57:17.840 回答
3

您实际上根本不需要更多证书。因为外部看到的 FQDN 是相同的,所以您在每台机器上使用相同的证书。

这意味着 WCF(如果您正在使用它)将起作用。如果您在消息级别而不是传输级别进行签名/加密,那么在外部负载均衡器上终止 SSL 的 WCF 会很痛苦。

于 2009-05-04T06:37:23.330 回答
1

您很可能不需要两个端口。只需让负载平衡器上的 SSL 虚拟服务器在请求中添加 HTTP 标头并检查即可。这就是我们使用 Zeus ZXTM 5.1 所做的。

于 2009-05-04T06:31:59.317 回答
0

您不必为每个站点都获得证书,有通配符证书之类的东西但它必须安装在每台服务器上。(假设您使用的是子域,如果没有,那么您可以跨机器重用相同的证书)

但如果不仅仅是为了便于配置,我可能会将证书放在负载均衡器上。

于 2009-05-04T07:10:51.813 回答