我已经阅读了有关群集(负载均衡器后面)和证书的各种线程。
我正试图在我们公司实施这个。
首先,我们的共同政策是不允许出口证书,所以这是不可能的。 我被告知,你不能申请一个具有相同CN的证书,即服务器1的www.example.com和服务器2的www.example.com。但从逻辑上讲,除了生成新密钥外,这与导出是一样的。 证书颁发机构是否会说:“我们不会接受相同的域名,但如果你想让它们出口,风险就在你身上?”。
其次有人告诉我说,这种做法是可行的:
CN= Server 1 Subject Alternate Name (SAN)=www.example.com CN= Server 2 SAN=www.example.com 我看不出有什么区别,只是把它作为一个CN。
第三,我知道,如果负载平衡器进入应用程序级别,那么证书可以安装在那里,但是我只是想回答上述两个问题,而没有考虑到这一点。
有人能清除我头上的云吗?
在此先感谢,帮助将不胜感激
克里斯托弗
虽然我同意Greg的说法,但我不认为他真的回答了你如何在负载均衡器后面的服务器上实现SSL证书的问题。
有多种方法可以做到这一点。 一种方法是在每台Web服务器上安装相同的证书。 这是一个非常有效的做法。 如果您的公司政策禁止您在负载平衡的农场中正确实施SSL,则表示抱歉。
另一种方法是只将证书放在负载均衡器上。 这通常意味着应用程序层负载平衡,其中从Web服务器到局域网上的负载平衡器的stream量是未encryption的,并且只能从负载平衡器中使用SSL。
其次,是的,您可以使用SAN证书。 但是,请注意,SAN证书有点新,有些老客户不理解。 在某些情况下,他们会被看不起,因为在一个证书上放上几个名字会以理论的方式减less它的可信度……但这是一个非常微小的问题。
本文对非常好的阅读有关负载平衡的各种方法:
首先,我们的共同政策是不允许出口证书。
这是一个天真愚蠢的政策。 不允许出口证书只是一个guifunction。 完整的证书仍然是可导出的,而不是需要工作的人。
https://www.isecpartners.com/tools/application-security/jailbreak.aspx