構築中の F5 負荷分散型 4 サーバー クラスター環境があるため、すべてのサーバーに証明書をすべてインストールする必要がないように、証明書を一元化することを検討しています。Windows 2012 / IIS 8 には証明書が一元化されているようですが、これはインバウンド トラフィックに対して IIS のエンドポイントを保護するためだけのものです。
アウトバウンド トラフィックについてはどうでしょうか。それらはすべて外部エンティティへの TLS トランザクションを開始するため、これらすべてを単一のサーバーに格納し、送信に必要な秘密鍵と公開鍵の証明書ストアに各 IIS ボックスを「タップ」する方法が必要です。 TLS メッセージ。
助言がありますか?
F5 がサポートし、IIS もいくつかの主要ベンダーをサポートする HSM を探しています(Thales と Safe-Net の両方に IIS がサポートする HSM があります)。私が覚えている限りでは安くはありませんが、まさにあなたが探しているものです。
そのルートに行きたくない場合は、BIG-IP を証明書ストアとして使用する汚いソリューションを選択し、IIS プール メンバーの自己署名証明書に依存することができます。
インバウンド: 受信トラフィックは、有効な CA 署名証明書 SSL クライアント プロファイルを使用して BIG-IP で終了します。BIG-IP は、一般的な SSL サーバー プロファイルを使用して IIS に再暗号化します。きれいではありませんが、機能します。
アウトバウンド: BIG-IP を IIS サーバーのデフォルト ゲートウェイとして使用する必要があるため、IIS の代わりに BIG-IP からアウトバウンド TLS を直接送信できます。
Devcentral: SSL アクセラレーション - アウトバウンド トラフィックを暗号化できますか
お役に立てれば。
-追跡