PDA

Bekijk Volledige Versie : oplossing gezocht



abodewits
09/12/08, 11:27
Hallo allemaal,

ik heb de volgende uitdaging.

ik heb 1 apache webserver die we als rev proxy willen gebruiken.
daarachter een 3 tal apache webservers waarvan 2 webserver elk 3 https portals moeten gaan hosten en 1 webserver 4 https portals.

mijn vraag is dan:

Ben ik dan 10 externe ip-adressen nodig om te kunnen routeren naar de verschillende https portals? (en dus ook 10 verschillende certificaten? )

het aanroepen gebeurd op de volgende manier

van buiten is het de bedoeling dat het wordt aangeroepen met http i.p.v. https, of er moeten nog andere ideen zijn voor dit geheel.

dit moet dan ook automatisch naar https worden omgezet.


webserver 1

https://portal1.domeinnaam1.nl
https://portal2.domeinnaam2.nl
https://portal3.domeinnaam3.nl

webserver 2

https://portal4.domeinnaam1.nl
https://portal5.domeinnaam2.nl
https://portal6.domeinnaam3.nl

webserver 3

https://portal7.domeinnaam4.nl
https://portal8.domeinnaam4.nl
https://portal9.domeinnaam4.nl
https://portal10.domeinnaam4.nl

heeft iemand een creatief idee om dit op te lossen.

Spetterpoep
09/12/08, 15:12
Volgens mij kan je in VirtualHosts (in Apache) gewoon portal3.domeinnaam2.nl neerzetten. Daar heb je geen IP adress voor nodig.

abodewits
09/12/08, 15:31
Volgens mij kan je in VirtualHosts (in Apache) gewoon portal3.domeinnaam2.nl neerzetten. Daar heb je geen IP adress voor nodig.

naar mijn idee is dit niet mogelijk als je https en reversed proxy gebruikt ? Toch

Spetterpoep
10/12/08, 11:17
naar mijn idee is dit niet mogelijk als je https en reversed proxy gebruikt ? Toch
Ik heb helaas nooit reversed proxy gebruikt. Dus ik zou het niet weten.

Heb je het al geprobeerd op een testbak?

Mikej0h
21/12/08, 04:20
Over de SSL-certificaten.
Je hoeft niet persee 10-certificaten aan te vragen.
Er bestaat, bij de wat duurdere certificaten, de mogelijkheid te kiezen voor een 'Wildcard'-certificaat.

Wat feitelijk betekend: https://*.domeinnaam.nl
Ze beginnen op SSL-certificaten (http://www.sslcertificaten.nl/wildcard.php) vanaf de 199,-.

GlennMatthys
22/12/08, 15:15
Afhankelijk van de manier waarop je loadbalancing doet, heb je maar 1 extern IP adres nodig, en heb je ook maar één SSL certificaat nodig voor de loadbalancer.

frankske
22/12/08, 15:34
Neen, je hebt effectief een SSL cert en een ip per host nodig (tenzij je voor wildcard certs gaat). Het *kan niet* anders, en dat heeft niks met je LB te maken, maar alles met het HTTPS / TLS protocol

GlennMatthys
22/12/08, 17:37
@frankske: je kan toch gewoon de loadbalancer SSL laten doen, en de communicatie tussen de backends over gewoon unsecured HTTP laten gaan?

frankske
22/12/08, 17:54
Glenn: tuurlijk. Maar je browser gaat reclameren dat het SSL cert niet correct is, tenzij ze allemaal een afzonderlijk SSL cert hebben, en dus ook een ander ip (ssl handshake gebeurt voor HTTP Host header)

GlennMatthys
22/12/08, 18:24
Glenn: tuurlijk. Maar je browser gaat reclameren dat het SSL cert niet correct is, tenzij ze allemaal een afzonderlijk SSL cert hebben, en dus ook een ander ip (ssl handshake gebeurt voor HTTP Host header)

De client praat toch enkel met de front-end, waarom zou je dan nog eens 3 SSL certificaten nodig hebben voor de backend servers? Als er naar de andere server ge-load-balanced wordt, dan blijft de bestaande secured verbinding toch gewoon geldig?

frankske
22/12/08, 18:33
@frankske: je kan toch gewoon de loadbalancer SSL laten doen, en de communicatie tussen de backends over gewoon unsecured HTTP laten gaan?

Dus: je loadbalancer doet de SSL. Dus: je browser praat SSL met je LB, niet met je backend server, want die weet niet wat SSL heeft.

Je LB heeft dus ofwel:

1 certificaat nodig per browser-url

of

1 wildcard cert nodig per domein.


Afhankelijk van de manier waarop je loadbalancing doet, heb je maar 1 extern IP adres nodig, en heb je ook maar één SSL certificaat nodig voor de loadbalancer.

Als je nog steeds overtuigd ben dat dit kan, kan je dat even tekenen?

GlennMatthys
22/12/08, 18:57
@frankske: ik heb het hier niet over één SSL certificaat voor meerdere (sub)domeinen, maar het feit dat als je SSL doet op de loadbalancer, dat je geen SSL certificaten nodig hebt voor de backends, enkel maar voor de loadbalancer zelf.

frankske
22/12/08, 19:05
@frankske: ik heb het hier niet over één SSL certificaat voor meerdere (sub)domeinen, maar het feit dat als je SSL doet op de loadbalancer, dat je geen SSL certificaten nodig hebt voor de backends, enkel maar voor de loadbalancer zelf.

No you don't :)


Afhankelijk van de manier waarop je loadbalancing doet, heb je maar 1 extern IP adres nodig, en heb je ook maar één SSL certificaat nodig voor de loadbalancer.

je hebt dus echt wel meerdere ssl certs en meerdere ip's nodig. Het klopt wel dat je die best installeert op de LB ipv op de backends.

PeterT
22/12/08, 19:41
Glenn, als ik jouw verhaal goed begrijp wil jij

Client <-SSL-> Frontend (LB) <-Unencrypted-> Backend (portals)

Dat kan natuurlijk prima maar je hebt nog steeds evenveel SSL certificaten nodig omdat je frontend URL's niet veranderen.. Je blijft portalX.domeinX.nl houden en daar moet gewoon een certificaat voor zijn, of je het nu rechstreeks van de server of vanaf de frontend plukt.

Dit is samengevat wat Frankske zegt :)