CSR, SSL и балансировщики нагрузки?
Мне нужно создать CSR на балансировщике нагрузки или на отдельных серверах?
3 ответа
Вы можете создать CSR где угодно. Сгенерированный сертификат должен быть в формате, который может использовать устройство, использующее его. Как правило, это будет PEM.
CSR - это куча информации (например, DN, даты истечения срока действия, CommonName) в дополнение к публичному ключу. Скачайте библиотеку openssl и сделайте трюки, упомянутые здесь.
http://www.rapidssl.com/ssl-certificate-support/generate-csr/apache_mod_ssl.htm
Получив сертификат, обязательно скопируйте закрытый ключ cert вместе с сертификатом CA (или создайте сертификат цепи), поскольку пользовательские приложения не часто обновляют свои корневые сертификаты.
Зависит от того, будете ли вы прерывать SSL на балансировщике нагрузки или веб-серверах...
В общем, если ваш балансировщик нагрузки может с этим справиться, то лучше сделать все это там и снять нагрузку с веб-серверов. Кроме того, это позволяет быстрее развертывать новые серверы, так как на один шаг меньше беспокоиться.
Сказав, что, как только вы получите свой закрытый ключ и ssl-сертификат от провайдера, вы можете создать их резервные копии и использовать их где угодно (на LB или серверах), так что вы не будете навсегда привязаны к одному или другому методу.