我是否需要在负载均衡器或单个服务器上生成 CSR?
答案1
您可以在任何地方生成 CSR。生成的证书需要采用使用它的设备可以使用的格式。通常,这将是 PEM。
答案2
CSR 是除公钥之外的一大堆信息(如 DN、到期日期、CommonName)。下载 openssl 库并执行此处提到的技巧。
http://www.rapidssl.com/ssl-certificate-support/generate-csr/apache_mod_ssl.htm
一旦您获得证书,请确保复制私钥、证书以及 CA 证书(或创建链证书),因为自定义应用程序不会经常更新其根证书。
答案3
取决于您是否要在负载均衡器或 Web 服务器上终止 SSL...
一般来说,如果您的负载均衡器可以处理,那么最好在那里完成所有工作并减轻 Web 服务器的负载。此外,它还可以更快地部署新服务器,因为少了一个需要担心的步骤。
话虽如此,一旦您从提供商处获得私钥和 SSL 证书,您就可以备份它们并在任何您喜欢的地方(在 LB 或服务器上)使用它们,这样您就不会永远被绑定到一种方法或另一种方法。