我所知道的常规设置是负载均衡器终止 SSL,然后向后端服务器发出未加密的请求。
但是,如果我想从负载均衡器到后端服务器建立 SSL 连接,我该如何实现?
我能想到的最简单的方法就是为每个后端服务器提供单独的 SSL 证书,例如https://node1.example.com,https://node2.example.com,https://node3.example.com负载均衡器连接到的等等。
有没有更好的方法来避免为每个后端服务器设置单独的证书?
答案1
SNI 也适用于后端服务器,因此所有后端服务器只需一个包含所有主机名的证书。
答案2
扩展Sven的回答:
可以设置具有多个主题 AltName 的单个证书(有时称为 SAN 证书或多域证书)。
另一个选择是创建通配符证书(“*.example.com”)并在所有相关主机上使用它。
证书应始终以安全的方式处理,但对于通配符证书来说,这一点自然尤为重要,因为恶意的第三方可能会利用通配符证书造成各种破坏。