J'essaie de configurer un équilibreur de charge dans Google Cloud où je peux faire en sorte que plusieurs sites Web avec différents certificats atteignent la même adresse IP externe, puis soient transmis à des groupes d'instances derrière l'équilibreur de charge. Le problème est que je ne vois que comment utiliser un seul certificat par adresse IP. Dois-je obtenir une adresse IP différente pour chaque certificat avec l'équilibreur de charge ? Je pourrais le faire, je suppose, mais nous hébergeons des centaines de sites et essayons d'activer SSL sur chacun d'eux, donc cela semble être une mauvaise voie à suivre.

À la recherche de suggestions - merci!

answer

Comme il s'agit certainement d'une limitation, comme solution de contournement, vous pouvez configurer un équilibreur de charge réseau et configurer votre backend pour qu'il fonctionne avec SNI. Comme expliqué ici, SNI peut sécuriser plusieurs sites Apache à l'aide d'un seul certificat SSL et utiliser plusieurs certificats SSL pour sécuriser divers sites Web sur un seul domaine (par exemple www.domain.com, sub.domain.com) ou sur plusieurs domaines (www.domain1 .com, www.domain2.com)—le tout à partir d'une seule adresse IP ;¨

Vous avez essentiellement deux options : soit vous avez un seul cname par certificat. Ensuite, vous avez besoin d'une adresse IP par certificat. Malheureusement, ce n'est pas une bonne idée car cette planète manque d'adresses IPv4.

Vous pouvez également utiliser un certificat SAN ou un certificat générique. Les certificats génériques exigent que tous vos noms d'hôtes soient sous le même nom de domaine (par exemple, www1.exemple.com, www2.exemple.com, projets.exemple.com, etc.) tandis que les certificats de noms alternatifs (SAN) peuvent avoir des noms d'hôtes indépendants. Voir https://en.wikipedia.org/wiki/Subject_Alternative_Name

Cela signifie cependant que vous devez pouvoir effectuer une seule demande de certificat pour tous ces noms de domaine. Let's encrypt par exemple limite le nombre de SAN à 100 par certificat. Voir https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769

Dans tous les cas, il n'est pas possible d'avoir plusieurs certificats liés à une seule adresse IP sur un équilibreur de charge Google Cloud. Et je ne connais aucun autre logiciel serveur qui pourrait faire le travail.