올닉스 2022-11

어떤 서비스인지는 잘 이해가 안되지만 Wildcard ssl 사용해서 모든서버에 설치하면 어떨까요

dateno1 2022-11

웹서버나 그런거같은데

1. 둘 다 되요 (1~5는 평문 통신만 하고, 프록시 처리해서 씌워도 되고, 1~5에서 각각 암호화후 그걸 그냥 통과시켜도 되고, 암호화한걸 또 암호화해도 됩니다)

2. 둘 다 됩니다

3. URL이 아니라 인증서란건 도메인 단위로 사는겁니다 (도메인이 1개라면 1개)

상위에서 프록시 처리하는게 아닌 하위에어 각각 처리할려면 인증서를 5군데 다 복사해야 합니다 (아니면 공유 경로에 두고 키를 5군데 복사해서 잘 보관해도 됩니다)

4. 불가능합니다

다만 인증서 에러 무시하게 설정하거나, 패킷 안 건들꺼면 딱히 아무 상관없는일입니다 (어차피 외부로 나갈땐 도메인 이름으로 사인되서 나가니 외부에서 볼땐 제대로 되어있음)

김루노 2022-11

지식인에 질문하신적 있나요
어디서 본 질문내용인데

일단 l4 스위치가 모두 다 지원하는건 아닙니다.

ssl offload 라는 기술을요
https://aws-hyoh.tistory.com/m/entry/L4-%EC%8A%A4%EC%9C%84%EC%B9%98-%EC%89%BD%EA%B2%8C-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0-7

편하게 l4에서 처리하려고 하시는것 같지만
일단 장비 정보도 없고
기술적으로는 가능하지만 안될 수도 있다가 답변일 것 같습니다.
뒷단 서버에 인증서 모두 등록하는건 무조건 되는거니
l4에서 시도해보시고 안되면 뒷단에 인증서 등록하세요
도메인은 1개라고 하셨으니 같은 인증서로 모든 서버에 등록하면 될 겁니다.

아이피로 ssl 인증서 발급은 안됩니다.
사설인증서 발행은 가능하지만요

웹 접속 시 보안 경고 떠서 안전하지 않은 페이지로 이동 눌러서 넘어가야합니다.
개발서버니 문젠 없지만요

인연 2022-11

L4 엔지니어라서.. 아는 부분만 끄적여 보겠습니다..

1. SSL 인증서 처리를 L4에서 해야하나요? 아니면 5대의 서버가 각각 해야할까요? 
-> 윗분이 말씀하신것처럼 관리효율성을 따지자면 L4에서 관리하시는게 유리합니다. SSL offload 지원여부 및 지원가능 인증서 확인해 보시면 됩니다.

2. 자료를 찾아보면 L4에서 가능하다고 하던데 그렇게 되면 L4에서 각 서버로 넘겨줄때 http 로 가게 되는건지요? 
 -> 제가 취급하는 솔루션 기준으로 가능합니다..

3. 들어오는 URL 도메인은 하나인데 하나의 인증서만 구매 함면 되나요?
 -> 도메인이 한개라면 단일도메인에 대한 인증서 하나만 신청하셔서 사용하시면 됩니다.
(Ex. www.test.com 일경우, 해당 도메인만 구매 )

  그리고 만일 L4에서 SSL처리를 하지 않고 각 서버에서 https로 받아야한다면 하나의 인증서를 5군데서 사용하면 되는지요?
-> 네 일반적인 SLB기능만 지원한다면 해당 포트에 대한 vs설정만 추가하시면 됩니다.
4. SSL 인증서가 도메인 기반이라고 알고 있는데 상용서버는 위에 언급한것 처럼 도메인으로 접근 되지만

  개발서버는 ip로 접근 합니다. 그럼 ip로 접근 하는 https 도 인증서 발행이 가능한건가요?
-> IP에 대한 인증서는 공식으로 발급이 안될껍니다..

제일 좋은건 사용중인 제품 엔지니어와 상담하시고 정하시면 됩니다.

블랙 2022-11

위에 모든분들 조언해주셔서 감사합니다.
댓글 주신 내용으로 정말 많은 도움이 되었습니다.
L4 에 SSL offload 기능이 없다고 합니다. 금융쪽에서는 가속기라는 표현을 쓰더라구요
그래서 결국 하위 각 서버에서 SSL 인증서 복사해서 사용하기로 했습니다.

윤탱이 2022-11

안녕하세요 블랙님
해당 Offload 기능은 리버스프록싱을 지원하는 L7 로드밸런서에 많습니다.
단순 L4 는 해당 포트에대해 물리적 패킷을 LB 할 뿐입니다.