我想在双服务器设置上设置TLS身份验证,并使用负载均衡器在它们之间传播流量。我无法访问负载均衡器,因此我需要单独设置两个服务器。我需要一个由我自己的CA签名的证书,我可以将其传递给我想要验证的客户端。我知道可以创建两个服务器通用的CA,但我不确定如何。是否像在具有相同配置的每台服务器上创建CA一样简单?
我很感激一些指导。
答案 0 :(得分:0)
TLS使用TCP连接,因此负载均衡器只会平衡TCP连接的建立。之后,客户端将绑定到两个服务器中的任何一个。
服务器向其客户端提供的证书应与负载均衡器的URL或IP匹配,以便客户端可以检查证书是否与他们要连接的证书相匹配。
如果您公开了客户端可以访问的后端服务器(例如,因为负载均衡器重定向连接,而不是隧道连接),您的服务器可能需要通配符证书。