Nginx 負載均衡器 SSL 證書

Question

我對 NGINX 完全陌生。

我想使用免費版本（不是 nginx plus）在 3 個服務器之間進行負載平衡（反向代理），並且連接必須是 SSL / 443。

我是將 SSL 證書放在 NGINX 負載均衡器服務器上，還是將 3 個 SSL 證書分別放在 3 個 Web 服務器上？ 我聽到了褒貶不一的評論。 我正在尋找最佳性能。

附加信息：我正在使用通配符 SSL 證書，其他網絡服務器是帶有 IP_Hash 的 IIS，以在同一網絡服務器上保持會話。

Answer 1

再次打開您的配置文件進行編輯。

sudo nano /etc/nginx/conf.d/load-balancer.conf

然后將以下服務器段添加到文件末尾。

server {
   listen 443 ssl;
   server_name domain_name;
   ssl_certificate /etc/letsencrypt/live/domain_name/cert.pem;
   ssl_certificate_key /etc/letsencrypt/live/domain_name/privkey.pem;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

   location / {
      proxy_pass http://backend;
   }
}

然后保存文件，退出編輯器，再次重啟nginx。

sudo systemctl restart nginx

啟用 HTTPS 后，您還可以選擇對負載均衡器的所有連接強制加密

server {
   listen 80;
   server_name domain_name;
   return 301 https://$server_name$request_uri;

   #location / {
   #   proxy_pass http://backend;
   #}
}

進行更改后再次保存文件。 然后重啟nginx。

sudo systemctl restart nginx

Answer 2

這個問題已經在 StackExchange 網絡中提出了，但無論如何我都會嘗試回答你的問題。

性能影響應該很明顯，但這實際上取決於您正在運行的內容。

需要考慮使用多個證書的一件事是，一旦請求到達負載均衡器，它就會在數據中心/網絡內保持安全。

這在您不擁有硬件並且無法物理訪問機器/數據中心的情況下很有用。 這是因為可能有多個人在共享空間中運行服務器和應用程序，而您無法確定該網絡中是否有人在窺探並監視流量。 你只是不能確定這不會發生。

僅使用一個證書（用於負載平衡器）稱為“SSL 卸載”，您可以並且應該在此處了解更多信息：

• https://security.stackexchange.com/questions/30403/should-ssl-be-terminated-at-a-load-balancer
• https://security.stackexchange.com/questions/79672/in-detail-how-does-ssl-offloading-acceleration-termination-work
• SSL 性能影響
• https://serverfault.com/questions/112547/does-using-ssl-cause-a-important-performance-hit