我们有一个包含 2 个并行服务器和一个硬件负载均衡器的应用程序,但没有使用 Web 服务器。我们想为应用程序实现 SSL。最好的方法是什么?1. 在两个应用程序服务器上配置 SSL 证书(这些是 Windows 2008 服务器);让 LB 保持原样,不与 SSL 打交道。2. 在硬件负载均衡器上部署 SSL 证书,在应用程序服务器上不执行任何操作。
Microsoft 有一个支持网站,其中介绍了在 Windows 服务器上部署 SSL 的分步过程。它不是电子商务网站,最大并发用户数在 80-100 之间。
请求专家建议实施 SSL 的最佳方法。优点和缺点。以及实施所涉及的步骤。
答案1
您需要将 SSL 终止在尽可能靠近边缘的位置 - 从纯粹的资源角度来看。由于 SSL 流量是加密的并且涉及额外的开销/握手,因此如果您在 LB 处终止它,则可以节省一些内部网络带宽。否则,所有额外的开销都需要通过 LB 传输到您的内部服务器,然后再返回。
不过由于你的申请要求似乎不高,所以可能不会对你造成太大影响。
至于如何执行此操作的步骤,您需要查看 LB 的文档。如果您的需求在未来大幅增加,您甚至可以考虑购买具有硬件 SSL 加速的 LB。