如何在负载均衡环境中设置SSL？

Question

这是我们当前的基础设施：

1. 共享负载均衡器后面的 2 个 Web 服务器
2. dns 指向负载均衡器
3. Web 应用程序是在 asp.net 中完成的，带有 wcf 服务

我的问题是如何设置 SSL 证书以支持 https 连接。

以下是我的两个想法：

1. SSL 证书终止于负载均衡器。 负载均衡器后面的安全/不安全通信将被转发到 2 个不同的端口。
   专业人士：水平缩放时只需要 1 个证书
   缺点：我必须通过检查请求的端口来检查安全或不安全 来自（哪里。 我感觉不太对劲
   
   当 IIS 绑定 2 个不同的端口时，WCF 设计将无法工作
   （根据此）
   
   
2. SSL 证书在每个服务器上终止？
   缺点：需要添加更多证书才能水平扩展，

谢谢

Answer 1

一定要在负载均衡器处终止 SSL！！！ 其后面的任何东西都不应该在外面可见。 为什么安全/不安全的两个端口不能正常工作？

Answer 2

您实际上根本不需要更多证书。 由于外部看到的 FQDN 相同，因此您在每台计算机上使用相同证书。

这意味着 WCF（如果您正在使用它）将可以工作。 如果您在消息级别而不是传输级别进行签名/加密，则在外部负载均衡器上终止 SSL 的 WCF 会很痛苦。

Answer 3

您很可能不需要两个端口。 只需让负载均衡器上的 SSL 虚拟服务器向请求添加 HTTP 标头并检查即可。 这就是我们对 Zeus ZXTM 5.1 所做的事情。

Answer 4

您不必为每个网站都获取证书，因为存在通配符证书之类的东西。 但它必须安装在每台服务器上。 （假设您正在使用子域，如果没有，那么您可以在机器上重复使用相同的证书）

但如果不仅仅是为了轻松配置，我可能会将证书放在负载均衡器上。