现在常见的网络架构为,后台web应用服务器,前段有负载均衡设备或是网关设备(如F5 或是 四成交换机 Array ),负载均衡等硬件设备都至少两台做备份;在现有的环境中,部署SSL证书,那么可以吧证书部署在F5上等硬件设备上来做SSL服务,这样可以不用在后台应用服务器上部署证书,一般常见的硬件设备上都会有SSL模块,而且硬件设备上配置SSL证书,可以使用硬件的加速功能,来提高SSL的访问性能,这样,可能会有的问题,是,硬件设备上的SSL模块一般都是单独出售,价格可能较贵,SSL证书部署成功后,那么从硬件设备到应用服务器之间仍然使用原有的http协议调用数据,被加密的数据传输过程为,从浏览器端到硬件设备之间,也就是说证书可以保证从浏览器到安装有证书的节点之间的数据加密,在硬件设备上安装SSL证书一般证书厂商工程师不会直接协助安装,都是有硬件厂商工程师进行安装证书;
还有就是在后台应用服务器上进行部署SSL证书,应用服务器的功能一般较专业的硬件网关或是负载均衡的功能可能会差很多,但是在后台应用服务器上部署SSL证书可以保证从浏览器到最后端的应用服务器之间的全称数据的加密,但是如果应用服务器的数量较多,那么在实施安装证书的工作中会比较繁琐,还有就是密钥文件的保存存在风险,一般的服务器证书都会有license,如果要在多台的应用服务器上安装证书,那么可能还需要购买多个的license,会增加费用。
所以一般如果网络架构中有负载均衡设备做负载,并且要部署SSL证书的话,建议部署在负载均衡设备上,由负载均衡设备或是网关设备提供SSL加密服务。
