Certificados para clusters

Navegue suas respostas
1

Eu li os vários encadeamentos referentes a clusters (atrás do balanceador de carga) e certificados.

Estou tentando implementar isso em nossa empresa.

Em primeiro lugar, nossa política corporativa não é permitir a exportação de certificados, portanto, isso está fora de questão. Foi-me dito que você não pode solicitar um certificado com CN idêntico, ou seja, www.example.com para o servidor 1 e www.example.com para o servidor 2. Mas logicamente isso é o mesmo que exportar, exceto que você gera novas chaves? As autoridades de certificação dizem "Não aceitaremos os mesmos nomes de domínio, mas se você quiser torná-los exportáveis, o risco estará com você?".

Em segundo lugar, foi-me dito que o seguinte iria funcionar: 

CN= Server 1 
Subject Alternate Name (SAN)=www.example.com

CN= Server 2 
SAN=www.example.com

Não vejo diferença entre isso e apenas colocá-lo como CN.

Em terceiro lugar, sei que se o balanceador de carga chegar ao nível do aplicativo, o certificado pode ser instalado lá, mas eu só queria responder aos dois acima sem que isso fosse considerado.

Alguém poderia limpar essa nuvem sobre minha cabeça?

Obrigado antecipadamente, a ajuda será muito apreciada

Christopher

    
por Christopher 14.05.2013 / 11:31

2 respostas

1

Embora eu concorde com o que Greg disse, não acho que ele tenha realmente respondido à sua pergunta sobre como implementar certificados SSL em servidores por trás de um balanceador de carga.

Há mais de uma maneira de fazer isso. Uma maneira é instalar o mesmo certificado em todos os servidores da web. É uma prática perfeitamente válida. Lamentamos que a política da sua empresa proíba a implementação correta do SSL em um farm com balanceamento de carga.

Outra maneira é colocar o certificado apenas no balanceador de carga. Isso normalmente implica no balanceamento de carga da camada de aplicativo, em que o tráfego do servidor da Web para o balanceador de carga na LAN não é criptografado e o SSL é usado apenas a partir do balanceador de carga.

Em segundo lugar, sim, você pode usar um certificado SAN. No entanto, saiba que os SAN CERTS são um pouco mais novos e alguns clientes mais antigos não os compreendem. E, em alguns casos, eles são desprezados porque colocar vários nomes em um certificado atenua sua confiabilidade de maneira teórica ... mas esse é um ponto muito minúsculo.

Este artigo permite ler muito bem os vários métodos de balanceamento de carga:

link

    
por 14.05.2013 / 14:10
1

Firstly Our compnay policy is not to allow exporting of certificates.

Esta é uma política ingênua e estúpida. A não permissão da exportação do certificado é apenas uma função gui. O certificado completo ainda pode ser exportado, não apenas pelas pessoas que precisam fazer seu trabalho.

link

    
por 14.05.2013 / 13:51

Tags

Problema de inicialização de dvd personalizado do RHEL 6.4 Design de rede Para pequenos escritórios [fechados]