我有一个这样的设置
负载均衡器Machine 1 - haproxy load balancer
Machine 2 - haproxy load balancer
Web服务器
Machine 1 - nginx with app
Machine 2 - nginx with app
现在我应该在哪里设置SSL证书。在负载均衡器或web服务器或两者上?
正确的做法是什么?
正确的方式"这取决于您的设置。如果您的负载均衡器与您的web服务器在同一台机器上,那么您选择将证书放在哪个机器上并不重要。如果它们在不同的服务器上,则加密取决于这些特定web应用程序的安全性有多重要。如果将证书放在负载平衡器上,那么网络中的任何人都可以看到未加密的流量(因为它从负载平衡器传输到服务器)。如果你把证书放在你的nginx服务器上,你就可以一直加密到本地服务器,但你必须稍微改变你的haproxy,让它正确地路由加密流量。您也将无法路由url路径。您还可以在两者上都放置证书,以便能够路由url路径,但这需要更多的管理(两个证书vs一个)。总的来说,最好把证书放在nginx服务器上,假设你不需要在url的负载均衡器中做任何路由。也一定要做自己的研究。