我正在构建一个F5负载均衡的4服务器群集环境,所以我希望集中我们的证书,以防止需要在每台服务器上安装它们。 Windows 2012 / IIS 8似乎具有集中式证书,但这只是为了保护我的端点在IIS中用于入站流量。
出站流量怎么样?他们都将向外部实体发起TLS事务,因此我需要一种方法将所有这些存储在一台服务器上并让每个IIS框“进入“用于发送该TLS消息所必需的私钥和公钥的证书存储。
有什么建议吗?
答案 0 :(得分:0)
您正在寻找HSM which the F5 will support,IIS也支持一些主要供应商(Thales和Safe-Net都有IIS支持的HSM)。它们从我记忆中并不便宜,但这正是你所寻找的。
如果您不想使用该路由,则可以选择使用BIG-IP作为证书存储区的脏解决方案,并依赖IIS池成员上的自签名证书。
入站:使用有效的CA签名证书SSL客户端配置文件在BIG-IP上终止传入流量。 BIG-IP使用通用SSL服务器配置文件重新加密到IIS。不漂亮,但它有效。
出站:您必须使用BIG-IP作为IIS服务器的默认网关,这样您就可以直接从BIG-IP而不是IIS引导出站TLS。
Devcentral: SSL Acceleration - Can I encrypt outbound traffic
希望这有帮助。
-Chase