Migrando sites com Certificados SSL de um servidor IIS para outro sem tempo de inatividade

Navegue suas respostas
2

Estamos no processo de migrar alguns sites de um dos nossos servidores Windows Server 2003 / IIS 6 mais antigos para um servidor Windows Server 2008 / IIS 7 mais recente. Temos que migrar esses sites sem muito tempo de inatividade.

Esses sites se comunicam com bancos de dados SQL Server e / ou MySQL. Eles também têm certificados SSL atribuídos a eles (são sites de comércio eletrônico).

Nosso plano inicial era parar os sites no servidor antigo por alguns minutos, copiar os sites e bancos de dados para os novos servidores e redirecionar os sites do IIS 6 no servidor antigo para www2.<domain>.com , o que aponta para o novo servidor. Dessa forma, o tráfego que ainda chega ao servidor antigo enquanto os caches DNS são liberados é redirecionado para o novo servidor.

O problema é que os certificados SSL são para www.<domain>.com e os visitantes veem um aviso de segurança se estiverem em www2.<domain>.com . É importante que todo o tráfego seja apontado para o novo servidor imediatamente, pois não podemos ter duas cópias separadas dos bancos de dados ou sites.

    
por slm 21.07.2010 / 00:33

3 respostas

1

Você pode considerar apenas o uso de um proxy TCP no antigo servidor Web para enviar o tráfego do proxy para o novo computador do servidor da Web enquanto os registros DNS antigos ficam fora do cache. Dependendo da quantidade de tráfego que você está lidando, algo como rinetd pode lidar com a carga fina.

Se a carga não for algo que uma ferramenta simples como o rinetd rodando na caixa antiga poderia manipular, você poderia colocar uma máquina dedicada executando qualquer um dos vários proxies de código aberto ( haproxy , saldo , etc) respondendo pelo IP do antigo servidor web e fazendo proxy do TCP para a nova caixa.

    
por 21.07.2010 / 00:55
0

Eu usei o stunnel 'para que o Windows fizesse coisas semelhantes. Nesse caso, você ligaria ao endereço IP da Internet no OldServer e configuraria o encapsulamento para falar SSL com o NewServer: 443. Você poderia configurá-lo para apresentar o par de certificados SSL (que você terá que converter nos formatos corretos, mas existem ferramentas para isso) nessa ligação local.

Desta forma, as conexões de entrada para o servidor antigo recebem o mesmo SSL esperado, e toda a sua sessão é intermediada de forma discreta e segura para o NewServer.

    
por 21.07.2010 / 01:25
0

Eu consideraria usar o Application Request Routing ( link ) que é uma extensão do IIS que basicamente fornece um proxy / roteador e pode atuar como um balanceador de carga, para que você possa instalá-lo na máquina IIS 7 e iniciar o roteamento de todas as solicitações para que o servidor IIS 6 antigo ainda execute todos eles e, em seguida, usar o Web Deploy ( link ) para sincronizar o servidor ao vivo com o novo conteúdo e certificados de publicação do IIS 7 e quaisquer outros objetos como GAC, COM etc. Uma vez que a sincronização é feita, você pode simplesmente desativar o roteamento e as solicitações imediatas podem ser atendidas pelo IIS 7 diretamente, se algo der errado, você pode sempre apenas ativar o ARR para continuar a rotea-los no back-end.

    
por 21.07.2010 / 05:11

Tags

Carga desigual com o balanceamento de carga de rede da Microsoft (Server 2003) Configuração do roteador para subdomínios de caractere curinga na rede interna