我已经阅读了有关集群(负载均衡器后面)和证书的各种线程。
我正在尝试在我们公司实现这一点。
首先,我们公司的政策是不允许导出证书,所以这是不可能的。我被告知您不能申请具有相同 CN 的证书,即服务器 1 的证书是 www.example.com,服务器 2 的证书是 www.example.com。但从逻辑上讲,这与导出相同,只是您生成了新密钥?证书颁发机构是否说“我们不会接受相同的域名,但如果您想使它们可导出,风险就在您身上?”。
其次,我被告知以下步骤可行:
CN= Server 1
Subject Alternate Name (SAN)=www.example.com
CN= Server 2
SAN=www.example.com
我认为这与仅将其作为 CN 没什么区别。
第三,我知道如果负载平衡器进入应用程序级别,那么证书就可以安装在那里,但我只是想回答以上两个问题,而没有考虑到这一点。
有人能扫清我头顶上的乌云吗?
提前致谢,我们将不胜感激
克里斯托弗
答案1
虽然我同意 Greg 的说法,但我认为他并没有真正回答你关于如何在负载均衡器后面的服务器上实现 SSL 证书的问题。
有多种方法可以做到这一点。一种方法是在每个 Web 服务器上安装相同的证书。这是一种非常有效的做法。如果您的公司政策禁止您在负载平衡的服务器场中正确实施 SSL,我很抱歉。
另一种方法是将证书仅放在负载均衡器上。这通常意味着应用层负载平衡,其中从 Web 服务器到 LAN 上的负载均衡器的流量未加密,并且 SSL 仅在负载均衡器之外使用。
其次,是的,您可以使用 SAN 证书。但是,请注意,SAN 证书较新,一些老客户不了解它们。在某些情况下,它们会被看不起,因为在一张证书上放几个名字在理论上会降低其可信度……但这是一个非常细微的点。
这篇文章非常值得一读,介绍了各种负载平衡方法:
答案2
首先,我们公司的政策是不允许出口证书。
这是一个幼稚而愚蠢的政策。禁止导出证书只是一个 GUI 功能。完整证书仍然可以导出,只是不能由需要完成工作的人导出。
https://www.isecpartners.com/tools/application-security/jailbreak.aspx