SSL via Loadbalancer

SSL via Loadbalancer - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 02-02-2010 à 18:04:21    

Bonjour à tous,
 
 
J'ai une problématique similaire à ce post : http://forum.hardware.fr/hfr/syste [...] 2223_1.htm
 
A savoir :
J'ai 4 serveurs qui hébergent le même site web derrière un LoadBalancer F5. En gros, quand un client se connect à www.monsite.fr, il tombe sur une VIP qui redirige grâce au loadbalancer vers un des serveurs (www.monsite1.fr, www.monsite2.fr...). Je dois choisir une solution SSL pour sécuriser www.monsite.fr.
 
Plusieurs choix s'offrent à moi à savoir :  
1- Gestion du SSL via loadbalancer : A ce moment là les communications se passent comme ca : Client-----HTTPS---->Loadbalancer---HTTP--->Serveur
2- Gestion du SSL via un certificat classique du style "keynectis" ou autre.
3- Gestion du SSL via le fournisseur DNS (Gandi dans mon cas), en gros acheter un certificat pour le domaine monsite.fr
 
J'aurai 3 questions :
 
- Via la deuxième solution, je suis bien obligé d'installer 4 certificats sur chaque serveur web IIS ? Est-ce que cela pose un problème dans la gestion du loadbalancer de rediriger vers un site web HTTPS ?  :??:  
 
- Comment se passe exactement la gestion du SSL via un hébergeur ?  :??:  
 
Comme vous pouvez le voir, cette problématique est encore un peu obscur pour moi, donc si vous pouvez apporter des explications, rectifications à mes propos n'hésitez pas...
 
Merci d'avance !  ;)

Reply

Marsh Posté le 02-02-2010 à 18:04:21   

Reply

Marsh Posté le 03-02-2010 à 07:38:58    

- oui
- oui : tu n'auras plus d'inspection/switching L7
- chez les hébergeurs ça fonctionne avec la solution 1 (qui est la bonne).
 
Le seul truc c'est que si tu héberges plusieurs sites sur ta VIP, tu ne peux avoir qu'un seul certificat, donc soit tous tes sites sont dans le même domaines et tu prends un certificat avec un wildcard *.domain.com, soit tu as des domaines différents et tu dois jouer avec le champ subject alternative names


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 03-02-2010 à 10:04:23    

Salut dreamer18 et merci pour ta réponse !
 
Donc les deux bonnes solutions sont :  
 
- Gestion du SSL via mon loadbalancer.
- Gestion du SSL via mon hébergeur.
 
Pour la solution hébergeur, ma VIP www.monsite.com pointe sur 4 sites :  
 
- site1.web.monsite.com
- site2.web.monsite.com
- site3.web.monsite.com
- site4.web.monsite.com
 
Donc dans ce cas là, je dois prendre ce que tu appelles un "wildcard", et à ce moment tous mes sous-domaines *.monsite.com seront en HTTPS.
 
Quels sont les inconvénients d'une solution SSL via un hébergeur ?  
Via Gandi, le ssl me reviendrai à 280€ par an.
Via Colt (c'est eux qui gèrent mon loadbalancer), j'en ai pour 492€.
 
Sinon, si tu as des conseils, précisions à apporter, je suis à ton écoute :)
 
 
Merci ;)

Reply

Marsh Posté le 03-02-2010 à 11:34:39    

bah dans un cas c'est toi qui gère, dans l'autre c'est externalisé.
 
Si tu as la main sur tes load balancer achète un certificat à une CA publique et gère tout toi même :)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 03-02-2010 à 11:49:58    

J'ai déjà testé l'installation-configuration d'un certif publique SSL sur un site non-loadbalancé, et ca marchait sans problème.
 
Le truc c'est que je n'ai pas la main sur le loadbalancer : Il est géré par colt, je peux demander à rajouter un IP dans un pool, créer une VIP mais pas gérer le SSL...
 
Dans tous les cas merci pour tes précisions/explications ;)

Reply

Marsh Posté le 03-02-2010 à 13:48:21    

le fait d'installer le certificat sur le F5 te permet ensuite de centraliser toutes les fonctions de switching L7 sur le LB, alors que si tu fais du SSL jusqu'au serveur, ton LB sera aveugle et tu pourrais éventuellement avoir besoind e fonctionnalités plus tard que tu ne pourras pas utiliser.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed