Ich versuche, einen Load-Balancer in Google Cloud einzurichten, bei dem mehrere Websites mit unterschiedlichen Zertifikaten dieselbe externe IP-Adresse erreichen und dann an Instanzgruppen hinter dem Load-Balancer weitergeleitet werden. Das Problem ist, dass ich nur sehe, wie man ein einzelnes Zertifikat pro IP-Adresse verwendet. Muss ich für jedes Zertifikat mit dem Load Balancer eine andere IP-Adresse erhalten? Ich könnte dies tun, nehme ich an, aber wir hosten Hunderte von Sites und versuchen, SSL auf allen zu aktivieren, also scheint das ein schlechter Weg zu sein.

Auf der Suche nach Vorschlägen - danke!

answer

Da dies sicherlich eine Einschränkung darstellt, können Sie als Workaround einen Network Load Balancer einrichten und Ihr Backend so konfigurieren, dass es mit SNI funktioniert. Wie hier erklärt SNI kann mehrere Apache-Sites mit einem einzigen SSL-Zertifikat sichern und mehrere SSL-Zertifikate verwenden, um verschiedene Websites auf einer einzelnen Domain (zB www.domain.com, sub.domain.com) oder über mehrere Domains (www.domain1 .) zu sichern .com, www.domain2.com) – alles von einer einzigen IP-Adresse;¨

Grundsätzlich haben Sie zwei Möglichkeiten: Entweder Sie haben einen einzigen C-Namen pro Zertifikat. Dann benötigen Sie pro Zertifikat eine IP-Adresse. Leider ist dies keine gute Idee, da es auf diesem Planeten nur wenige IPv4-Adressen gibt.

Alternativ können Sie ein SAN-Zertifikat oder ein Wildcard-Zertifikat verwenden. Wildcard-Zertifikate erfordern, dass sich alle Ihre Hostnamen unter demselben Domänennamen befinden (z. B. www1.example.com, www2.example.com, projects.example.com usw.), während Zertifikate mit alternativen Subjektnamen (SAN) unabhängige Hostnamen haben können. Siehe https://en.wikipedia.org/wiki/Subject_Alternative_Name

Das bedeutet jedoch, dass Sie in der Lage sein müssen, für alle diese Domänennamen eine einzige Zertifikatsanforderung durchzuführen. Lassen Sie uns verschlüsseln zum Beispiel die Anzahl der SANs auf 100 pro Zertifikat begrenzt. Siehe https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769

In beiden Fällen ist es auf einem Google Cloud Load Balancer nicht möglich, mehrere Zertifikate an eine einzelne IP-Adresse zu binden. Und mir ist keine andere Serversoftware bekannt, die diese Aufgabe erfüllen könnte.