Certificat SSL et Load Balancer

Certificat SSL et Load Balancer - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 19-12-2007 à 18:04:41    

Bonjour,
 
Ce post concerne les certificats SSL sur un architecture avec un load balancer. En effet, j'ai 8 serveurs web (6x IIS5 et 2x II6) le tout derriere un load balancer. Ces 8 serveurs web heberge le meme site, appelons-le www.monsite.com.
Nous allons mettre en place une page https pour l'authentification sur le site :
Le user va sur http://www.monsite.com, pour d'identifier il rempli login/password, il clique, et le post se fait sur https://www.monsite.com, et il est automatiquement redirigé sur http://www.monsite.
Donc pour lui c'est presque completement invisiblement le coté "secure".
 
Je dois donc acheté un certificat SSL. Malheureusement je ne suis pas expert dans ce domaine et le nombre d'offres m'a l'air vraiment grand. Par rapport a l'architecture et aux besoins, avez-vous une idée de ce que j'ai besoin ?
 
Plusieurs problématiques:
- 8 serveurs physiques derriere un load balancer
- mélange des versions 5 et 6 d'IIS (je souligne au passage que c'est bien débile, mais c'est comme ça...)
- presque invisible pour l'utilisateur, donc pas besoin de tous les grigris qui s'affiche dans IE7 par ex
- pas trop cher  :sarcastic:  
 
Si quelqu'un a de l'experience dans la gestion de certificats SSL, j'aimerai bien qu'il puisse m'éclairer !
 
Merci

Reply

Marsh Posté le 19-12-2007 à 18:04:41   

Reply

Marsh Posté le 19-12-2007 à 21:12:43    

il faut distinguer deux choses, le load balancing et le SL offload.
 
Le load balancing consiste à répartir des sessions sur plusieurs serveurs avec persistance.
 
Le SSL offload consiste à déporter la gestion du SSL sur le load balancer (y a des ASICs pour traiter la crypto) et donc sur les serveurs, tu ne laisse que le service HTTP, les sessions HTTPS n'étant cryptées qu'entre l'internaute et le load balancer.
 
Sinon, l'hétérogénéité des serveurs n'est pas un problème en soi.
 
Pas trop cher ça peut se trouver aussi.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 19-12-2007 à 23:00:19    

le load balancing non plus ne pose pas de probleme, il faut que tu mette en place ce que cisco appelle le "sticky" qui fait qu'un client reste scotché à un unique server physqiue ...

Reply

Marsh Posté le 20-12-2007 à 08:02:30    

ce qui peut etre compliqué c'est de faire en sorte que le client soit sur le meme serveur physique pour l'http et l'https, alors que ce sont deux serveurs virtuels indépendants sur le LB.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 20-12-2007 à 09:47:27    

Merci pour vos réponses !
A vrai dire je n'ai meme pas pensé que le LB pouvait gérer de lui même le SSL...
Draemer18, le problème que tu évoques n'en est a priori pas un puisque les sessions sont indépendantes du serveur sur lequel on se trouve.
 
En fait ma question initiale était plutot de savoir quelle solution de certificat prendre chez quel provider ? Ca m'a l'air presque pire que pour les noms de domaine ! Il y a plein de solutions différentes, et je ne sais pas vers laquelle me tourner sachant l'utilisation qu'on veut en faire (juste une methode POST pour s'identifier...).
Et acheter 1 certificat + 7 licences supplémentaires ça commence à chiffrer très vite.
 
Pour ce qui est du matériel, c'est pas du cisco ^^. C'est un Barracuda Load Balancer 340. Effectivement sur la spec on parle de SSL Offloading 150TPS, je vais regarder de plus pres (je ne connaissais pas du tout).
Ce qui est con c'est que j'ai pas encore la bête, pour l'instant on utilise le classique round robin DNS...

Reply

Marsh Posté le 20-12-2007 à 10:03:27    

Les sessions sur ton site tu les gères comment ?
 
Car par défaut elles sont par serveur donc si tu t'identifie sur un les informations de sessions ne seront pas valables sur un autre et sans conf particulière (voir trictrac) pour une requette ça ira sur l'un, la suivante sur un autre (ou le même) etc. d'où perte des sessions

Reply

Marsh Posté le 20-12-2007 à 10:16:56    

On utilise du coldfusion, et les sessions sont stoquées en base de données, donc indépendant du serveur web sur lequel tu te trouves !

Reply

Marsh Posté le 20-12-2007 à 10:51:52    

Voilà c'est la réponse que j'attendais !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed