Configurando o SSL com uma conexão redundante

Question

Configurando o SSL com uma conexão redundante

#1 resposta do (3 votos)
#2 resposta do (2 votos)

1

Minha situação:

Temos dois servidores, Server A e Server B .
Server A tem um proxy configurado, que serve dados (sobre SSL) de Server B .
Server B pode ser acessado via 1.1.1.1 ( one.server.example.com ) e 2.2.2.2 ( two.server.example.com ). Server A decide qual conexão deve usar para se conectar (failover).
O Apache em Server B está configurado com um host virtual server.example.com e possui dois aliases, one.server.example.com e two.server.example.com .

Gostaria de saber se preciso comprar dois certificados SSL (porque estamos nos conectando com one.server.example.com e two.server.example.com ) ou se um será suficiente porque one.server.example.com e two.server.example.com são apenas aliases de server.example.com .

Além disso, se essa não for a maneira "recomendada" de configurar essas coisas, informe-nos. Nunca fiz isso antes ..

ssl apache-2.2 ssl-certificate

por Bjorn 15.11.2014 / 13:20

2 respostas

2

Parece que você implementou o failover do jeito errado. Aqui você está simplesmente usando dois IPs no mesmo servidor e apontando dois nomes de domínio para ele. Se server B cair, onde está a redundância?

Dê uma olhada nas implementações de bridging e VRRP do roteador, como keepalived .

Depois disso, se você deseja hospedar vários nomes de domínio no mesmo IP usando o VRRP por trás do cenário, a decisão vem do suporte de conectividade no lado do cliente: ele oferece suporte à extensão TLS SNI, ele suporta extensão X509 SubjAltName ou não. A solução mais genérica é usar um certificado curinga, claro.

por 15.11.2014 / 14:32

Tags ssl apache-2.2 ssl-certificate

elimina milhões de ficheiros dentro de um directório [duplicado] Posts HTTPS para URLs HTTP são inseguros?

score 3 · Accepted Answer

Existem algumas maneiras de contornar isso:

Obter um certificado curinga: Isso permite qualquer número de subdomínios primários, no entanto, isso pode ser um pouco caro.
Nomes ALT no certificado: Nomes alternativos em certificados geralmente são uma opção mais barata, que permite especificar domínios / subdomínios permitidos para serem usados no certificado
Se este for um serviço somente de back end (não voltado ao público) no servidor B, você pode ser sua própria autoridade de certificação e definir confiança de certificação apropriada no Servidor A. Isso é muito gratuito, mas requer um pouco mais de trabalho?