Pregunta:
Si tiene 5 servidores web detrás de un equilibrador de carga (como haproxy) y están entregando contenido para el mismo dominio, ¿necesita certificados SSL para todos los servidores o puede usar el mismo certificado en cada servidor?
Sé que puede colocar todas las solicitudes SSL en un servidor específico, pero eso requiere información de sesión distribuida y espero que no llegue a eso.
Respuesta:
Si tiene 5 servidores web detrás de un balanceador de carga (…) ¿necesita certificados SSL para todos los servidores?
Depende.
Si realiza el equilibrio de carga en la capa TCP o IP (capa OSI 4/3, también conocida como L4, L3), entonces sí, todos los servidores HTTP deberán tener instalado el certificado SSL.
Si equilibra la carga en la capa HTTPS (L7), normalmente instalaría el certificado solo en el equilibrador de carga y usaría HTTP sin cifrar simple a través de la red local entre el equilibrador de carga y los servidores web (para obtener el mejor rendimiento en el servidores web).
Si tiene una instalación grande , entonces puede estar haciendo Internet -> equilibrio de carga L3 -> capa de concentradores SSL L7 -> balanceadores de carga -> capa de servidores de aplicaciones HTTP L7 …
Willy Tarreau, el autor de HAProxy, tiene una descripción general muy agradable de las formas canónicas de equilibrar la carga HTTP / HTTPS .
Si instala un certificado en cada servidor, asegúrese de obtener un certificado que lo admita. Normalmente, los certificados se pueden instalar en varios servidores, siempre que todos los servidores sirvan tráfico para un solo nombre de dominio completo. Pero verifique lo que está comprando, los emisores de certificados pueden tener una cartera de productos confusa …