Frage:
„….muss man für jeden Webserver, der genutzt wird, ein Zertifikat benötigt wird oder es genügt ein
Zertifikat auf dem Loadbalancer aufzuspielen…“
Antwort:
Üblicherweise setzt man ein Zertifikat auf dem Loadbalancer ein und spricht dann vom Loadbalancer in das Web-Server-Backend HTTP. Man muss also nicht n-fach signierte Zertifikate für alle Web Server in der Farm beantragen.
Bei einigen Kunden aus dem Finanz- und Bankenumfeld hat sich eingebürgert, die Backend Verbindung zwischen Load Balancer und Webserver ebenfalls per HTTPS zu betreiben. Hier ist aber der Vorgang der Verschlüsselung wichtig und nicht ein ordentlicher Zertifizierungspfad oder eine Vertrauensstellung. Auf den Webservern reicht dann in diesem Fall auch ein self signed Zertifikat, weil der eigentliche „öffentliche“ SSL Handshake mit dem Client Browser in jedem Falle vom Loadbalancer abgehandelt wird. Der Client Browser sieht immer nur das Zertifikat des Load Balancers, die evtl. self-signed Zertifikate der Webserver werden nicht durchgereicht.
Die Aussage ist eindeutig: Thawte verlangt lizenzrechtlich pro Server eine eigene Lizenz; bei comodo-Zertifikaten sind n-physikalische Maschinen lizenzrechtlich abgedeckt.