我们的公司在我们的负载均衡器上有一个SSL证书,从用户到负载均衡器保证了HTTPS通道的安全。 负载均衡器后面的内部stream量只是通过HTTP传输。
我们有一个新的要求,这意味着在负载均衡器后面的所有Web服务器上安装SSL证书,以保证HTTPS的端到端stream量。 这很简单,但不幸的是有很多需要证书的主机。 必须去每个Web服务器并设置证书是非常耗时的。
有没有一种方法可以让证书在共享位置上运行,并让所有的Web服务器都使用它? 或者让一些证书的大量Web服务器的pipe理变得更容易?
了解IIS的一篇很好的文章解释了如何使用PowerShell获取和安装证书:
PowerShellpipe理单元:使用IIS PowerShellpipe理单元configurationSSL
要启用SSL,需要执行三个步骤:
- 获取并安装证书
- 在IIS中创build一个SSL绑定
- 将证书分配给IIS绑定的IP:端口
并可选地:
- 在您的网站上执行SSL
您可以使用从LB到Web服务器的自签名证书。
自签名的encryption级别不会更差,并且在用户访问途中使用的证书不是自签名的。
使用有效期为10年的自签证书。 即使到期,如果LB只接受证书过期的事实,encryption仍然有效。
或者你也许可以通过组策略推动? 除非你的服务器不在AD中。
您可以使证书的私钥可导出(对安全性不好,保持安全)并导出私钥和证书。 那么你应该可以在PowerShell中编写脚本(如果你使用的是IIS 7或者7.5),可以通过任何你想要的服务器来导入它。