는 여기에 우리의 현재 인프라입니다 : 부하 분산 환경에서 SSL을 설정하는 방법은 무엇입니까?
제 질문은 https 연결을 지원하도록 SSL 인증서를 설정하는 방법입니다.
여기에 내가 가진이 개 아이디어를합니다. 로드 밸런서 뒤의 보안/비보안 통신은 2 개의 다른 포트로 전달됩니다.
프로 : 나는 수평
단점 규모로 만 1 인증서가 필요합니다 : 내가 보안 확인하거나 요청에서 오는 입니다 포트 검사에 의해 안전하지해야합니다. 아주 IIS는 2 개 개의 다른 포트
(according to this)
감사
을 확장 할 수있는! 뒤에있는 것은 외부에서 볼 수 없습니다. 왜 보안/비보안을위한 두 개의 포트가 제대로 작동하지 않을까요?
대개 두 개의 포트가 필요하지 않습니다. 로드 밸런서의 SSL 가상 서버에 요청에 HTTP 헤더를 추가하고이를 확인하십시오. Zeus ZXTM 5.1에서 우리가하는 일입니다.
은 SSL 가상 서버로 하드웨어 또는로드 균형 조정기의 특정 설정입니까? – ronaldwidha
로드 밸런서에서 사이트를 설정할 때 수신 대기 할 IP와 트래픽을 전달할 백 엔드 노드 (ip/port)를 지정해야합니다. 전체적으로이 구성은 일반적으로 가상 서버 또는 "VIP"라고합니다. – Chris
실제로 더 많은 인증서가 필요하지 않습니다. 외부에서 볼 수있는 FQDN이 같기 때문에 각 컴퓨터에서 인증서를 사용하십시오.
이것은 WCF (사용중인 경우)가 작동 함을 의미합니다. 외부로드 밸런서에서 종료되는 SSL을 사용하는 WCF는 전송 수준이 아닌 메시지 수준에서 서명/암호화하는 경우 고통 스럽습니다.
이 최선의 방법이라고 생각합니다. 설정이 어떤지 더 자세히 설명해 줄 수 있습니까? ssl은 모든 상자에서 종료됩니까? 도메인 이름 수준 (즉, 부하 분산 장치)이 아님 – ronaldwidha
한 컴퓨터에서 인증서 요청에 대한 응답을 가져 오면 인증서 관리 MMC 스냅인을 사용하여 개인 키를 포함하여 인증서를 내보낼 수 있습니다. 그런 다음 다른 상자로 가져 와서 IIS에 바인딩 할 수 있습니다. ... 도메인 이름 수준에서 어떤 의미입니까? 로드 밸런서가 * .domain.example에 응답한다고 말하고 있습니까? 이것은 사물을 복잡하게합니다. – blowdart
당신은하지 이 와일드 카드 인증서 표시와 같은 것들이 있습니다 모든 사이트에 대한 인증서를 취득해야합니까. 그러나 모든 서버에 설치해야합니다. (당신이 하위 도메인을 사용한다고 가정하면, 만약 그렇지 않다면 같은 인증서를 여러 컴퓨터에서 재사용 할 수 있습니다.)
쉬운 구성이 아니라면 아마도로드 밸런서에 cert를 넣을 것입니다.
논쟁의 여지가 없다면 포트 80에 안전하지 않은 포트가 있고 임의의 포트로 보안이 전달되는 경우 x. http : // domain : x로 바로가는 것은 보안 인증서를 우회하지 않습니까? 사용자는 암호화되지 않은 상태로 통신을 보내는 것을 인식하지 못할 수 있습니다. – ronaldwidha
방화벽은 일종의 프록시 역할을하기 때문에 방화벽 뒤의 주소를 보지 못합니다. 이는 뒤에서 컴퓨터와 통신하거나 패킷을주고 받거나 전달합니다. (실제로는 정확하지는 않지만 사용자가 볼 수있는 내용은 OK입니다.) – blowdart
PCI/DSS 표준을 확인하면 트래픽이 네트워크 내에서 가로채는 데 취약해질 수 있습니다. – Falkayn