Häufig gestellte Fragen (FAQ) zur SSL-Verschlüsselung

Warum sollte ich meine kommerzielle Webseite mit einem LoadMaster-System absichern?
Es gibt verschiedene Gründe, einen LoadMaster als SSL-Beschleuniger und Load-Balancer einzusetzen. Die effiziente Unterstützung von SSL ist der wichtigste Grund. Dabei wird das SSL-Handling von Ihren Servern auf den Loadmaster übertragen, was folgende Vorteile mit sich bringt: - Deutliche Performancesteigerung Ihrer E-Commerce-Server, da diese nicht zusätzlich SSL behandeln müssen. SSL erzeugt ca. 35-55% zusätzliche Last! - Zentralisierung des Key-Management: statt auf mehreren Servern verwalten Sie die Public Key-Zertifikate an einer Stelle - Kosten- und Aufwandreduzierung, da die Installation und Konfiguration zusätzlicher SSL-Hardware oder -Software auf Ihren Servern entfällt - Kosten- und Aufwandreduzierung, da zusätzliche Anwendungsserver aufgrund des eingesparten SSL-Overhead entfallen können - Persistenz durch Cookies an Stelle von inkonsistenten SSL Session-ID's
nach oben
Muß ich meine Webserver-Anwendung in irgendeiner Form anpassen?
Nein, Ihre Webserver-Anwendung muß für den Einsatz von LoadMaster SSL-Systemen nicht angepaßt werden. Stattdessen werden Sie feststellen, daß Ihre Web-Server durch den Wegfall der rechenintensiven SSL-Verschlüsselung deutlich performanter werden.
nach oben
Werden durch die Nutzung von SSL LoadMaster-Funktionalitäten eingeschränkt?
Die LoadMaster-Systeme basieren auf einer skalierbaren Plattform. Mit dem SSL-Proxy auf dem LoadMaster wird die Funktionalität durch eine hoch verfügbare, intelligente Lastverteilung für abgesicherte Transaktionen erweitert - eine Einschränkung gibt es also nicht.
nach oben
Wir haben eine Anwendung, die persistente Session-Cookies erfordert. Wird dies durch Ihre Lösung unterstützt?
Mit den LoadMaster-Systemen stehen Ihnen verschiedene Persistenz-Methoden zur Verfügung. Da durch die Nutzung der SSL-Proxy-Funktionalität keine sonstigen funktionalen Einschränkungen entstehen, wird Ihre aktuelle Anwendung auch unterstützt. Darüber hinaus erweitert der LoadMaster diese Funktionalität, indem der LoadMaster in Ihrer Anwendung die Rolle des SSL-Proxy übernimmt.
nach oben
Wie kann ich mit dieser Lösung Geld sparen?
Der Aufwand und die Kosten sinken mit direkter und indirekter Wirkung: - Sie müssen weniger SSL-Zertifikate kaufen und verwalten - Wenn man davon ausgeht, daß SSL mehr als 35% der CPU-Leistung des Servers benötigt, sparen Sie mind. einen zusätzlichen (vierten) Anwendungsserver je drei aktiver Server - zuzüglich Installations- und Betriebsaufwand, der dadurch entfällt.
nach oben
Das klingt gut, aber wie funktioniert es?
Wenn eine Anfrage beim LoadMaster eintrifft, wird diese vom LoadMaster untersucht, und dann auf Basis der definierten Regeln entschieden, an welchen Server sie weitergegeben wird. Die Entscheidung hängt von der Serververfügbarkeit, von der gewählten Load Balancing-Methode und von der Art der angefragten Information ab. Der angefragte Informationstyp kann durch Auslesen des HTTP-Headers bestimmt werden. Wenn die Anfrage mit SSL verschlüsselt ist, z.B. in einem typischen Online-Shop, kann der Header und Cookies vom LoadMaster zunächst nicht gelesen werden - dadurch können die hochselektiven Load-Balancing-Methoden nicht angewendet werden. Der LoadMaster kann jedoch die SSL-Anfragen entschlüsseln, und im Anschluß den Header und Cookies auslesen - so ist eine intelligente Lastverteilung dennoch möglich.
nach oben
Was sind "Public Key-Zertifikate" und wie hilft mir der LoadMaster diese zu verwalten?
Jede Lösung, die die Verschlüsselung und Entschlüsselung von SSL-Sessions nutzt, benötigt Public Key bzw. Zertifikate. Es gibt viele Anbieter, bei denen solche Keys kommerziell erhältlich sind. Jeder Webserver, auf dem eine mit SSL verschlüsselte Anwendung betrieben wird, benötigt verschiedene Keys, die auf diesem Server verwaltet werden müssen. So sind sie z.B. nach Ablauf ihres Gültigkeits-Zeitraumes auszutauschen. Wenn Sie bereits SSL auf Ihrem Webserver nutzen, wissen Sie, wie und woher Sie die benötigten Keys bekommen. Mit dem LoadMaster wird das Key-Management an einer Stelle konsolidiert, unabhängig davon wie viele Server Sie dahinter betreiben. Darüber hinaus erfolgt die Verwaltung der Keys bzw. Zertifikate über das Web Interface, während die meisten anderen Lösungen auf Servern über die Befehlszeile mit kryptischen Kommandos bedient werden müssen.
nach oben
Kann man dieselben SSL-Zertifikate auf zwei LoadMaster-Systemen nutzen?
Die LoadMaster-Systeme werden im "Active-Standby"-Modus betrieben, daher wird nur ein Zertifikat pro Webdomain benötigt.
nach oben
Wie viele Zertifikate können auf dem LoadMaster für die SSL-Beschleunigung verwendet werden?
Sie können 256 Zertifikate verwalten.
nach oben
Ist die Failover-Funktion zwischen zwei LoadMaster-Systemen auch mit SSL nutzbar?
SSL-Sessions werden im "stateless mode" (zustandsloses Protokoll) gehalten. Das bedeutet, daß die Verbindung vom Client zum Server aus einer Reihe von kleinen Kommunikationspaketen besteht, die voneinander unabhängig sind. Der LoadMaster stellt die Persistenz sicher, was in transaktionsorientierten E-Commerce-Anwendungen (z.b. Online-Shops) notwendig ist. Sollte in einer redundanten Installation der aktive LoadMaster ausfallen, muß die SSL-Session vom Browser auf Client-Seite neu aufgebaut werden. Dies ist ein Sicherheitsmerkmal von SSL - würde die Session weiter bestehen, hätten Angreifer die Möglichkeit, dies auszunutzen, und es würde ein Sicherheitsloch entstehen.
nach oben
Kann ich meine bisherigen Zertifikate übernehmen?
Zertifikate, die auf Unix-Systemen eingesetzt werden, können i.d.R. auf den LoadMaster übertragen werden - abhängig vom Lieferanten des Zertifikats. Zertifikate von Windows-Servern müssen neu erzeugt bzw. beschafft werden; eine Übertragung ist nicht möglich.
nach oben
Was passiert, wenn der LoadMaster zu viel SSL-Anforderungen erhält?
Jedes LoadMaster-System kann bis zu 1.000 SSL-Transaktionen pro Sekunde und bis zu 6.000 aktive Verbindungen parallel behandeln. Es ist sehr unwahrscheinlich, dass Ihr SSL-Traffic die Kapazität des LoadMasters überschreitet. Wenn dies dennoch eintritt, reagiert der LoadMaster, ohne aktiver Verbindungen zu verwerfen. Sobald der LoadMaster seine definierte Lastgrenze erreicht, wird die Bearbeitungsgeschwindigkeit für einzelne Sessions reduziert, bis das System sich erholt hat. Der Client stellt in diesem Fall eine reduzierte Performance fest.
nach oben
Benötige ich mehr Arbeitsspeicher in meinem LoadMaster?
In seltenen Fällen kann zusätzlicher Speicher in einem LoadMaster-System sinnvoll sein. Dies ist z.B. der Fall, wenn die Anzahl der gleichzeitigen Verbindungen dauerhaft mehr als 4.000 beträgt - in diesem Fall trägt eine Speichererweiterung dazu bei, die hohe Performance aufrecht zu erhalten. KEMP Technologies unterstützt Sie gerne in der Anpassung der Speicherkonfiguration, wenn dies für den Betrieb Ihrer individuellen Internet-Anwendung notwendig ist.
nach oben

Blog Load Balancing FAQ SSL - FAQ	Häufig gestellte Fragen (FAQ) zur SSL-Verschlüsselung Warum sollte ich meine kommerzielle Webseite mit einem LoadMaster-System absichern? Muß ich meine Webserver-Anwendung in irgendeiner Form anpassen? Werden durch die Nutzung von SSL LoadMaster-Funktionalitäten eingeschränkt? Wir haben eine Anwendung, die persistente Session-Cookies erfordert. Wird dies durch Ihre Lösung unterstützt? Wie kann ich mit dieser Lösung Geld sparen? Das klingt gut, aber wie funktioniert es? Was sind "Public Key-Zertifikate" und wie hilft mir der LoadMaster diese zu verwalten? Kann man dieselben SSL-Zertifikate auf zwei LoadMaster-Systemen nutzen? Wie viele Zertifikate können auf dem LoadMaster für die SSL-Beschleunigung verwendet werden? Ist die Failover-Funktion zwischen zwei LoadMaster-Systemen auch mit SSL nutzbar? Kann ich meine bisherigen Zertifikate übernehmen? Was passiert, wenn der LoadMaster zu viel SSL-Anforderungen erhält? Benötige ich mehr Arbeitsspeicher in meinem LoadMaster? Warum sollte ich meine kommerzielle Webseite mit einem LoadMaster-System absichern? Es gibt verschiedene Gründe, einen LoadMaster als SSL-Beschleuniger und Load-Balancer einzusetzen. Die effiziente Unterstützung von SSL ist der wichtigste Grund. Dabei wird das SSL-Handling von Ihren Servern auf den Loadmaster übertragen, was folgende Vorteile mit sich bringt: - Deutliche Performancesteigerung Ihrer E-Commerce-Server, da diese nicht zusätzlich SSL behandeln müssen. SSL erzeugt ca. 35-55% zusätzliche Last! - Zentralisierung des Key-Management: statt auf mehreren Servern verwalten Sie die Public Key-Zertifikate an einer Stelle - Kosten- und Aufwandreduzierung, da die Installation und Konfiguration zusätzlicher SSL-Hardware oder -Software auf Ihren Servern entfällt - Kosten- und Aufwandreduzierung, da zusätzliche Anwendungsserver aufgrund des eingesparten SSL-Overhead entfallen können - Persistenz durch Cookies an Stelle von inkonsistenten SSL Session-ID's nach oben Muß ich meine Webserver-Anwendung in irgendeiner Form anpassen? Nein, Ihre Webserver-Anwendung muß für den Einsatz von LoadMaster SSL-Systemen nicht angepaßt werden. Stattdessen werden Sie feststellen, daß Ihre Web-Server durch den Wegfall der rechenintensiven SSL-Verschlüsselung deutlich performanter werden. nach oben Werden durch die Nutzung von SSL LoadMaster-Funktionalitäten eingeschränkt? Die LoadMaster-Systeme basieren auf einer skalierbaren Plattform. Mit dem SSL-Proxy auf dem LoadMaster wird die Funktionalität durch eine hoch verfügbare, intelligente Lastverteilung für abgesicherte Transaktionen erweitert - eine Einschränkung gibt es also nicht. nach oben Wir haben eine Anwendung, die persistente Session-Cookies erfordert. Wird dies durch Ihre Lösung unterstützt? Mit den LoadMaster-Systemen stehen Ihnen verschiedene Persistenz-Methoden zur Verfügung. Da durch die Nutzung der SSL-Proxy-Funktionalität keine sonstigen funktionalen Einschränkungen entstehen, wird Ihre aktuelle Anwendung auch unterstützt. Darüber hinaus erweitert der LoadMaster diese Funktionalität, indem der LoadMaster in Ihrer Anwendung die Rolle des SSL-Proxy übernimmt. nach oben Wie kann ich mit dieser Lösung Geld sparen? Der Aufwand und die Kosten sinken mit direkter und indirekter Wirkung: - Sie müssen weniger SSL-Zertifikate kaufen und verwalten - Wenn man davon ausgeht, daß SSL mehr als 35% der CPU-Leistung des Servers benötigt, sparen Sie mind. einen zusätzlichen (vierten) Anwendungsserver je drei aktiver Server - zuzüglich Installations- und Betriebsaufwand, der dadurch entfällt. nach oben Das klingt gut, aber wie funktioniert es? Wenn eine Anfrage beim LoadMaster eintrifft, wird diese vom LoadMaster untersucht, und dann auf Basis der definierten Regeln entschieden, an welchen Server sie weitergegeben wird. Die Entscheidung hängt von der Serververfügbarkeit, von der gewählten Load Balancing-Methode und von der Art der angefragten Information ab. Der angefragte Informationstyp kann durch Auslesen des HTTP-Headers bestimmt werden. Wenn die Anfrage mit SSL verschlüsselt ist, z.B. in einem typischen Online-Shop, kann der Header und Cookies vom LoadMaster zunächst nicht gelesen werden - dadurch können die hochselektiven Load-Balancing-Methoden nicht angewendet werden. Der LoadMaster kann jedoch die SSL-Anfragen entschlüsseln, und im Anschluß den Header und Cookies auslesen - so ist eine intelligente Lastverteilung dennoch möglich. nach oben Was sind "Public Key-Zertifikate" und wie hilft mir der LoadMaster diese zu verwalten? Jede Lösung, die die Verschlüsselung und Entschlüsselung von SSL-Sessions nutzt, benötigt Public Key bzw. Zertifikate. Es gibt viele Anbieter, bei denen solche Keys kommerziell erhältlich sind. Jeder Webserver, auf dem eine mit SSL verschlüsselte Anwendung betrieben wird, benötigt verschiedene Keys, die auf diesem Server verwaltet werden müssen. So sind sie z.B. nach Ablauf ihres Gültigkeits-Zeitraumes auszutauschen. Wenn Sie bereits SSL auf Ihrem Webserver nutzen, wissen Sie, wie und woher Sie die benötigten Keys bekommen. Mit dem LoadMaster wird das Key-Management an einer Stelle konsolidiert, unabhängig davon wie viele Server Sie dahinter betreiben. Darüber hinaus erfolgt die Verwaltung der Keys bzw. Zertifikate über das Web Interface, während die meisten anderen Lösungen auf Servern über die Befehlszeile mit kryptischen Kommandos bedient werden müssen. nach oben Kann man dieselben SSL-Zertifikate auf zwei LoadMaster-Systemen nutzen? Die LoadMaster-Systeme werden im "Active-Standby"-Modus betrieben, daher wird nur ein Zertifikat pro Webdomain benötigt. nach oben Wie viele Zertifikate können auf dem LoadMaster für die SSL-Beschleunigung verwendet werden? Sie können 256 Zertifikate verwalten. nach oben Ist die Failover-Funktion zwischen zwei LoadMaster-Systemen auch mit SSL nutzbar? SSL-Sessions werden im "stateless mode" (zustandsloses Protokoll) gehalten. Das bedeutet, daß die Verbindung vom Client zum Server aus einer Reihe von kleinen Kommunikationspaketen besteht, die voneinander unabhängig sind. Der LoadMaster stellt die Persistenz sicher, was in transaktionsorientierten E-Commerce-Anwendungen (z.b. Online-Shops) notwendig ist. Sollte in einer redundanten Installation der aktive LoadMaster ausfallen, muß die SSL-Session vom Browser auf Client-Seite neu aufgebaut werden. Dies ist ein Sicherheitsmerkmal von SSL - würde die Session weiter bestehen, hätten Angreifer die Möglichkeit, dies auszunutzen, und es würde ein Sicherheitsloch entstehen. nach oben Kann ich meine bisherigen Zertifikate übernehmen? Zertifikate, die auf Unix-Systemen eingesetzt werden, können i.d.R. auf den LoadMaster übertragen werden - abhängig vom Lieferanten des Zertifikats. Zertifikate von Windows-Servern müssen neu erzeugt bzw. beschafft werden; eine Übertragung ist nicht möglich. nach oben Was passiert, wenn der LoadMaster zu viel SSL-Anforderungen erhält? Jedes LoadMaster-System kann bis zu 1.000 SSL-Transaktionen pro Sekunde und bis zu 6.000 aktive Verbindungen parallel behandeln. Es ist sehr unwahrscheinlich, dass Ihr SSL-Traffic die Kapazität des LoadMasters überschreitet. Wenn dies dennoch eintritt, reagiert der LoadMaster, ohne aktiver Verbindungen zu verwerfen. Sobald der LoadMaster seine definierte Lastgrenze erreicht, wird die Bearbeitungsgeschwindigkeit für einzelne Sessions reduziert, bis das System sich erholt hat. Der Client stellt in diesem Fall eine reduzierte Performance fest. nach oben Benötige ich mehr Arbeitsspeicher in meinem LoadMaster? In seltenen Fällen kann zusätzlicher Speicher in einem LoadMaster-System sinnvoll sein. Dies ist z.B. der Fall, wenn die Anzahl der gleichzeitigen Verbindungen dauerhaft mehr als 4.000 beträgt - in diesem Fall trägt eine Speichererweiterung dazu bei, die hohe Performance aufrecht zu erhalten. KEMP Technologies unterstützt Sie gerne in der Anpassung der Speicherkonfiguration, wenn dies für den Betrieb Ihrer individuellen Internet-Anwendung notwendig ist. nach oben