Nginx负载平衡器SSL证书

Question

我对NGINX完全陌生。

我想使用免费版本(不是nginx +)在3台服务器之间加载平衡(反向代理)，连接必须是SSL / 443。

我是将SSL证书放在NGINX负载均衡器服务器上，还是将3 x SSL证书单独放置在3台web服务器上？我听说过各种各样的评论。我在寻找最好的表演。

附加信息:我使用通配符SSL证书和web --其他web服务器是IIS和IP_Hash --将会话保存在同一个web服务器上。

Answer 1

这个问题已经在StackExchange网络中被问到了，但是我还是要试着回答你的问题。

性能影响应该是显而易见的，但这确实取决于您正在运行的是什么。

需要考虑使用多个证书的一件事是，一旦请求到达负载均衡器，它就会在数据中心/网络中保持安全。

如果您不拥有硬件，并且没有对机器/数据中心的物理访问，这是非常有用的。这是因为可能有多个人在共享空间中运行服务器和应用程序，而且您无法确定该网络中是否有人在窥探和监视流量。你只是不能确定那不会发生。

只使用一个证书(用于负载均衡器)称为'SSL卸载‘，您可以并且应该在这里了解更多有关它的信息：

• https://security.stackexchange.com/questions/30403/should-ssl-be-terminated-at-a-load-balancer
• https://security.stackexchange.com/questions/79672/in-detail-how-does-ssl-offloading-acceleration-termination-work
• SSL performance implications
• https://serverfault.com/questions/112547/does-using-ssl-cause-a-significant-performance-hit

Answer 2

再次打开配置文件进行编辑。

sudo nano /etc/nginx/conf.d/load-balancer.conf

然后将以下服务器段添加到文件的末尾。

server {
   listen 443 ssl;
   server_name domain_name;
   ssl_certificate /etc/letsencrypt/live/domain_name/cert.pem;
   ssl_certificate_key /etc/letsencrypt/live/domain_name/privkey.pem;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

   location / {
      proxy_pass http://backend;
   }
}

然后保存文件，退出编辑器并重新启动nginx。

sudo systemctl restart nginx

在启用HTTPS的情况下，您还可以选择对到负载均衡器的所有连接强制加密。

server {
   listen 80;
   server_name domain_name;
   return 301 https://$server_name$request_uri;

   #location / {
   #   proxy_pass http://backend;
   #}
}

在进行更改后再次保存文件。然后重新启动nginx。

sudo systemctl restart nginx