Nossa empresa tem um certificado SSL em nosso balanceador de carga, que protege o canal HTTPS do usuário para o balanceador de carga. Tráfego interno atrás do balanceador de carga apenas viaja pelo HTTP.
Temos um novo requisito que significa instalar o certificado SSL em todos os servidores da web por trás do balanceador de carga para proteger o tráfego de ponta a ponta com HTTPS. Isso é bastante simples, mas infelizmente há muitos hosts que precisam do certificado. É muito demorado ter que ir a cada servidor web e configurar o certificado.
Existe uma maneira de ter o certificado ao vivo em um local compartilhado e ter todos os servidores da web usando-o? Ou alguma maneira de facilitar o gerenciamento desse grande número de servidores web com certificados?
Há um bom artigo sobre o Learn IIS que explica como usar o PowerShell para adquirir e instalar um certificado:
PowerShell Snap -in: Configurando o SSL com o snap-in IIS PowerShell
To enable SSL three steps are involved:
- Acquiring and installing a certificate
- Creating an SSL binding in IIS
- Assigning the certificate to the IP:Port of the IIS binding
and optionally:
- Enforcing SSL on your web-site
Você pode usar certificados autoassinados do LB para o servidor da web.
O nível de criptografia em auto-assinado não é pior e o certificado usado no caminho para o usuário não é auto-assinado.
Use um certificado autoassinado com um período de validade de 10 anos. E mesmo se expirar, a criptografia ainda funciona se o LB aceitar o fato de que o certificado expirou.
Ou você poderia talvez passar por uma política de grupo? A menos que seus servidores não estejam em um AD.
Você pode tornar a chave privada do certificado exportável (ruim para segurança, mantê-la segura) e exportar a chave privada e o certificado. Então você deve ser capaz de escrever algo no PowerShell (se você estiver no IIS 7 ou 7.5) para importá-lo em qualquer servidor que você quiser.