SSLのロードバランス

[0001 浜崎あゆみ NG NG]

SSLの通信をロードバランスさせようとしていますが
IEではSSL-IDがセッション中に変化するので×
クッキーはブラウザでOFFにしたら×
結局、ソースアドレスでやってもProxyからでてくるものは一つのアドレスでまとめられてしまうので
同じサーバに負荷がかかってしまう・・・。
現在のテクノロジーではどのように解決してるのでしょうか？
教えてください。

[0010 浜崎あゆみ NG NG]

>8
ドキュソの書き込みはいらないです。
結局、説明できてませんね。
私は質問をしているのです。宣伝なんかどこにもしてませんよ。

[0011 anonymous NG NG]

>>8
凄い妄想力ですね。どこにも製品名出てないのに。
BIG-IPだって取り扱いはNTT-MEだけじゃないでしょ。

[0012 ムズカシネ NG NG]

1>>
おいらも同じトラブルで悩んでた。で、結論。IEの（WINDOWS)の
レジストリ変えれば（２分だったっけ？）のSESSION IDの変更は
されない。試してみそ。

[0013 nanasisan NG NG]

>>12
クライアントが不特定多数の場合はダメじゃん。

[0014 ソカ？ NG NG]

>>13
SSL stickyはsession to sessionでの認証だから、Poricy serverから
一度認証をもらってしまえば、その間のPASSは同一session IDであれば
間のCSS、LDなどの不可分散装置で均等に（per session, round robin等）
で、やってくれるよ。つまり、クライアントには依存しない。
IPでのstickyはダメだけどね。cockyでも理屈ではできるけど、
やった事無いから分からない。

[0015 anonymous NG NG]

>>14
SSL Session IDが短い周期で変わる場合の話しをしてるのでは？
IEのリジストリをいじるってのは公開サーバではソリューションにならない
と思うが。
ドコモの端末もSSL Session IDが変わるらしいぞ。

[0016 うちはalteon全盛 2001/07/01(日) 11:18 ID:.tVrH9FA]

方法はいくつかあると思う
1.BIG-IPみたいにSSLのひんばんな最ネゴシエーションに対応した
ロードバランサを使う。（BIG-IP以外に出来るのある？）

2.前のスレで述べられていた様に、ロードバランサの手前にSSL専用機
を置いて復号化してしまう。で、パーシステンスはURLに識別IDを埋め
込んで行う。

3.2の応用だけど、セッションフェイルオーバー機能を持ったWebアプリ
ケーションサーバ(WebLogic/iPlanet etc)に整合性の維持は任せて
ロードバランサーはランダムに振り分けるに徹する

4.Cookieがダメならhiddenで対処

5.Webサーバ側にミドルウェア作り込み。URLにアプリサーバの
アドレスを埋め込んでしまい、ミドルウェアはそのアドレスに
従いアプリサーバにつなぎ込む仕組みにする。そうすればロード
バランサはランダムに振り分けるだけですむ。（某社のアプリ
サーバのパクリアイデアだけど）

[0017 nobody 2001/07/01(日) 12:25 ID:tcWrfK.M]

手前で復号化すると、サーバーの負荷が下がっていいですよ、と代理店が言って
いたなあ。

[0018 なな氏ちゃん 2001/07/01(日) 13:02 ID:tm.CHcYQ]

SSLアクセラレータの二重化がむずかしいYO

[0019 anon 2001/07/01(日) 13:07 ID:.tVrH9FA]

>>18
多くのサイトは1台で十分なのでは？
偏りがあったとしても、アプリサーバほど負荷は深刻にならないと
思われるので、Source IPでSSLに振り分けても良いだろうし。
甘い？

[0020 名無しさん 2001/07/01(日) 13:17 ID:xMfsN33E]

うちは３でやっているけど、アクセラレータが一台です。
Intelの7110だけど大丈夫かな。
BIG-IPをHAで組むと800万円〜1000万円になるという見積もりをもらってこれは手が出ないと思いました。

[0021 IP屋 2001/07/01(日) 22:54 ID:???]

ちなみにintelのSSL製品安いの？評価は？

[0022 なな氏ちゃん 2001/07/02(月) 00:26 ID:Vmk/fAu2]

18っす。
金融関係なので、二重化必須なのです。要件的に。

[0023 ssl id 2001/07/08(日) 10:02 ID:m024lt7U]

けっきょく１はどう解決したのよ？

[0024 session ID 2001/07/12(木) 14:00 ID:???]

私もSSL + LBで困っている一人です。

>>22
Alteon switchは１台の機械に2つのアクセラレータを冗長のためつけられる。また、
Switch自体冗長可できる。

>>21 >>20
SSLだけの話であれば安いのでは？

>>19
十分かどうかでなく、金融では意味も無くとりあえず
冗長は必須なのよ。

>>18 F5, AlteonとSSL単体(Intel)を組み合わせる
方法もあるが、

>>17
SUNでCPU負荷測ってみるとわかるよ。SSLのジェネレータは
そこらへんにある。

>>16
hiddenのやり方教えて下さい。

Session IDがころころ変わる件については
各社対応済み。(Alteon, Intel, F5)

URIに埋め込むのは常道だけど、やっぱり
ネットワークだけで極力対処したいのだけど。

App Serverは1 CPUあたり500万もするから却下。
Weblogicあまり良い話聞かないが、詳細希望。

[0025 コクチマス 2001/07/15(日) 23:34 ID:zHFDNoyY]

>>24
>Session IDがころころ変わる件については
>各社対応済み。(Alteon, Intel, F5)

これ、詳細ｷﾎﾞﾝ。

うちは、ネットワークできたあとから、ユーザがログインしてログアウト
するまで同一サーバじゃないとﾀﾞﾒなんて仕様が判明して(あれだけ確認
したのによ)、結局SSLアクセスはアドレス固定にしたけど。
間抜け杉。

[0026 サポセン人 2001/07/15(日) 23:38 ID:???]

>>25
某証券ですな。

[0027 session ID変更 2001/07/16(月) 19:24 ID:???]

>>25
session IDを覚えていて、新しいsession IDに変わった時に、
古い番号から新しい番号への引継ぎを行うというのが私の知っている
唯一の方法。メーカにより違うかもしれないけど、そこまでは不明。

現在server stickeyを解決できる一番確実なのはCookieによる方法である
事に変わりは無いのでは。そうでなければServer側でcgiを組む
及び、app serverなど。

server timeout, ネットワークのtimeout値の微妙な調整により、
LBは動いたり動かなかったりする。こればかりはSI業者のノウハウ
になるだろうね。かなり裏技のため、一般的な本には全然書かれて
いない。みんなこれで幾や徹夜を経験したことか...
メーカのサポートチームは猛省すべきだね。

[0028 コクチマス 2001/07/17(火) 10:40 ID:8UPZLS/.]

>>27
解説ｻﾝｸｽ。
古い番号から新しい番号、って、どうやってひきつぐんだろう???

>メーカのサポートチームは猛省すべきだね。
禿同。

>>26
ちがうよん。でもどこも同じようなﾀﾞｻｲ解決策しかないのね。

[0029 session IDまた変更 2001/07/17(火) 19:40 ID:???]

>>28
Session IDはブラウザが発行する。新しいSession IDに変更
する時に、古いsession IDを同じパケットに付けて送ってくる。
LBは、このパケットの中にあるsession IDが、以前使用していた
IDと同じである事を読み取って同じ一連のsessionだと判断する。詳しくは
SSLのRFCがあるのでチャレンジしてみてください。このRFC,
すっごく難しいので暗号化の解説についてはお手上げでした。

[0030 コクチマス 2001/07/17(火) 23:31 ID:???]

>>29
ｻﾝｸｽ!! 勉強します。

[0031 SSL再ネゴシエーション対応 2001/07/21(土) 11:56 ID:ufqOKK7w]

>>24
>>Session IDがころころ変わる件については
>>各社対応済み。(Alteon, Intel, F5)
BIG-IPが対応しているのは知っていたが、AlteonもOKなのですか？

>>hiddenのやり方
<INPUT TYPE=“hidden” NAME=......>

>>Weblogicあまり良い話聞かないが
そう？
具体的にはどの様な？

[0032 sessionID再変更 2001/07/26(木) 12:28 ID:???]

>>31
Alteon
うん。IEのversionに関係なく動いてる。

hidden
Thank you.

Weblogic
SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
動かない（実際には１つのサーバに負荷が集中する）というのを
小耳にはさんだもので。実際に自分で触っているわけでないので、
不正確な情報は混乱の元ですので、何かわかったらお知らせ
します。

[0033 Alteoner 2001/07/29(日) 01:53 ID:MpWuDVkI]

>>29
RFC番号きぼーん

[0034 ServerIroner 2001/07/29(日) 15:14 ID:xoJl1obQ]

age

[0035 31 2001/08/05(日) 11:43 ID:kr8aTxbc]

>>32
>>Weblogic
>>SSLとの絡みでどうなるかは知らないけど、Load balanceが正常に
>>動かない（実際には１つのサーバに負荷が集中する）
1台のサーバがセッション情報を管理するのはiPlanet。
WebLogicは分散で管理します。マスターとスレーブのセットが複数
あるって事。
だから、理論的にはWebLogicの方がスケーラビリティは上です。
でも、マスターが1台であっても、現実的にはそれほど問題には
ならないはず。アプリケーションサーバを何十台と並べる構成に
する人はあまりいないでしょうから。SMP機にして、出来るだけ
台数増えない様にするのがセオリー。

[0036 age 2001/08/12(日) 12:31 ID:2SOl0J4A]

age

[0037 iSD 01/10/27 20:20 ID:S9dOgsVK]

Alteon ACEdirector+iSDの組み合わせで一撃。
前段のACEdirectorは負荷分散はせず、2台の冗長構成で、iSDでSSLの
処理だけバランスさせる。
ACEdirectorが負荷に耐えれないほどのSSLのセッションが多いのなら
別だが、それは滅多にないのでは？

[0038 anonymous@ nttkngw013211.flets.ppp.infoweb.ne.jp 01/11/02 01:21 ID:w/HSLpte]

>>26
nomura證券?

[0039 anonymous@ ea-tokyo-1-177.dsnw.ne.jp 01/11/23 15:57 ID:3OEh88+v]

age

[0040 age 01/11/23 16:48 ID:???]

alteonはL4スイッチングやバランシング機能のみに限定すればすばらしいと思う

ただ、ヘルスチェックがいいかげんな感じだし、
リアルサーバが輻輳したとき、そいつ宛の滞留しているセッションを
別のリアルサーバに投げているようなフシがある

誰かAD3で同じような現象を経験してる人いない？
正直手詰まり状態

[0041 ーーー 01/11/24 01:54 ID:FANxNtGK]

「感じ」とか「フシがある」じゃなくて、もう少し突っ込んで調べてみようよ。

[0042 40 01/11/24 04:49 ID:???]

>>41
かなりの負荷がかからんと症状で無いし、
そのかなりの負荷の中から該当するパケットを拾い出すのが大変なのよ

見つけたサンプルが少ないんで"フシ"とか"感じ"って言い方になっちゃうんだけど、
実際に発生してるのは確かだよ

[0043 anonymous@ xdsl133233.210143.metallic.ne.jp 01/11/24 09:17 ID:BSeRuaYI]

んーそれ言うたらBigIPも冗長構成とった時綺麗に切り替わらないで黙っちゃう時有るなぁ。

[0044 ーーー 01/11/24 12:01 ID:FANxNtGK]

>>42
ヘルスチェックがL7レベルであればそういう動作もあるかと。

[0045 nobody 01/11/24 14:46 ID:???]

>42

実はへルスチェック失敗してサーバ死んでいるとおもっているのでは？
/info/slb/real
を叩き続けてみるとか。

へルスチェックタイミングを延すとか。

[0046 40 01/11/24 16:05 ID:???]

>>45
多分、そのせいだとは思うんだけど、
確立してるセッションのパケットなのに、宛先が死んだら
ハンドシェイクしてない相手に流すっていう動作をしてることになるよね？

これって重大な欠陥じゃないのかと、、、
本来はそのままため込んで、タイムアウト前に実際の宛先が復活したら
そこに流すという動作が正しいのでは？

[0047 名無しがご連絡します 02/02/10 01:14 ID:cNgXyXXz]

BIGIPでSSLパケット平文にしてクッキーなりＵＲＩなりを
ルールで振り分けれるようになたーＹＯ！！
バランス先を決定した後、サーバーに暗号文送るーＹＯ！！

[0048 ponta 02/02/10 07:05 ID:uzdrVlez]

>>47
わかりにくいよ。
正しくは、BIG-IP上でSSLを複合化し、CookieやURIを参照して
バランス先を決定した後、もう一度SSLに暗号化してサーバに送る、だろ？
金融とかのPKIの世界では必要になってくるだろうね。
Ver4.2では、クライアントの証明書やクライアントのIPアドレスを
HTTPヘッダ内にインサートしてサーバに送ることもできる。

>>1への答えだが、PC向けサイトではSSL複合＋Cookieパーシステンス使う。
モバイル向けはSSL複合＋URIパーシステンス使う、というのがサーバへの
負荷を下げる意味でも、セッションIDの変化に対応する意味でも、いまのところ
唯一の解だよ。CookieがOFFのユーザーには警告を出すような仕組みを作って
おけばいい。この場合、バランサーはLayer7処理能力の高い製品を使用しないと
いけない。Alteonじゃだめだろ。F5が一番で後は予算と相談。

[0049 名無しがご連絡します 02/02/10 14:44 ID:v56HlizL]

>>48
正確だーＹＯ！！

[0050 金魚 02/02/19 01:07 ID:DkGcFxfT]

F5はSSLが多いとCPU負荷高くなるし、どうせNICだから。
すっごい不思議なのはSSLの処理ってrainbowがやっているんじゃないの？なんで750TPSどまりなんだろう？

[0051 金魚 02/02/19 01:23 ID:DkGcFxfT]

f5がL7処理能力が高いの？ワイヤスピード出ていればあんまし気にしないんだけどとっても気になる。その前に、そこまで使用したこと無いんだけど。どこか資料落ちていない？
わたしゃ、Alteonを使っているんだけど、前、f5のセミナー行ったときAlteonだめだめの嘘ばっかりだったんだよなあ。あれだけ言われるとf5、特に2000とか5000とかイイナと思っても不審のカタマリ・・。f5、100TPSとは言わず200だったら太っ腹！だったよ。中途半端。

[0052 あたぁ 02/02/19 16:58 ID:???]

>>50
f5はＳＳＬカード挿せるじゃん。
ＣＰＵ負荷は問題にならネーよ。

>>51
f5以外でマトモニＬ７動くのは？

[0053 金魚 02/02/19 21:52 ID:0d83qKGp]

>>52
いやあね、前インタロップで負荷分散機いろいろ見ているときにT○Lの技術屋さんライクな人に750TPSってなんで中途半端な数字なの？って聞いたらCPUで限界なんですって言われたもんだから、そんなもんなのかなあって。
BIG-IP540でCPUが早くなって、800TPSになっていたのでやっぱそうなのかなって再度思ったりして。
まあ、そこまで多分使わないんだけどね、というより、使ってくれないんだけど。
日本人の悲しい性比較してしまっただけよ。でも、f5何でも出来そうで、手を出したいけど少しそういうのが怖いだけっす。
L7動くのはf5とAlteonとCSS(ArrowPoint)なんちゃうの？Ironは良く知りません。所詮、http headerの文字列カッティングしているだけだしぃ。CSMはL4までとか、風のうわさで聞いた。

[0054 でもさあ 02/02/20 00:47 ID:???]

>>53
金魚さん詳しそうなので、教えて！
BIG-IP5000とか2000とかってADやCSSと同じようにパフォーマンスいいの？
F5の代理店がすごいこといって帰ったけど。

[0055 金魚 02/02/20 02:27 ID:Tp/9LY7i]

>> 54
Tollyの資料にL7パフォーマンスのデータがあるとF5のセミナーで聞いた
よ。いいらしい。中身は有料なので見たことないです。
ただ、セミナーの内容が他社批判がひどかっただけに、にわかに信じがたい
んだよね。Radwareなんて乗りたくもない土俵に乗せられて価格比較されて
いるんだから。LD/CSSもAlteonもボロクソ。できる機能をできない、と言い
切られているし。Userの立場になって比較して欲しいよ。それだったらSSL
でたった100TPSで他のSSL Acceleratorの200〜600TPSと同じように書かれ
ている。
いまどき、800TPSがMAXってNetStructure7115の拡張性にも負けているよ。
まあ冷静になればフツーそこまで使わないんだけどさ。そんなつまらない部
分が気になるし突っ込み入れたくなる。
個人的に機能が充実していそうで、しかも速そう、安定していればと期待し
ていたBIG-IP2000/5000だけに、あそこまで他社が批判されていると嘘っぽ
い。自信があるのなら堂々とパフォーマンスと機能で売ればBIG-IPで行って
みようかなって検討するのに。
パフォーマンスもL7に限定しているし、L4、UDPどうよ？とか邪推してしま
うよ、あのセミナーじゃ。知らない人に刷りこむにはいいんだろうけど。
で、僕も、でもさあさん、正直L4TCP, L7, UDPのパフォーマンス僕も知り
たいです。どなたか1秒間のsession handlingの巨砲IPやCSS・Alteon・
ServerIronの負荷分散能力知っている方ヒミツでここだけの話教えてくれま
せんか？

[0056 F5 02/02/21 00:07 ID:???]

アルテオンの代理店はゼロックスとネットマークス。ゼロックスは世界で一番アルテオンを売ってる代理店
らしいです。そのあたりから、推して知るべしですね。

[0057 F5 02/02/21 00:08 ID:???]

すいません。板間違えました。

[0058 ? 02/02/21 01:21 ID:???]

>>56
その割にはなんでもかんでもノーテルに丸投げするんだよなあ　<FX

[0059 Ｆ6 02/02/21 02:36 ID:???]

>>58
かばうわけじゃないけど。Ｘの技術陣はこの分野はすごいよ。
何もしないでの丸投げはないでしょ。
意地張って抱えるより、メーカーマターはメーカーに投げるべき。

それより、ウチはF5ユーザーだけど、よくトラブル。
問題は、代理店のレスがないぞ！！
Ｘさん助けて！でもF5じゃだめ？

[0060 02/02/21 18:15 ID:???]

>>56->>59
ちょっと板違いかもしれないけど、興味あるので続報キボンヌ

[0061 nobody 02/02/21 22:08 ID:509saCZ/]

>59

たしかにXさん、質問投げてもレスポンス早いしな。

[0062 nobody2 02/02/21 23:15 ID:???]

>>61
わたしもそう思います。＜X
何度も助けていただきました。

[0063 金魚 02/02/22 01:25 ID:ytjUqTmX]

どこでもRESの早くて的確なこと突く優秀なSEはいるよ。 数をどれだけ
抱えているかなんだろうけど。
嘘を語るところはそう言う意味で信頼できねェ。
でも真実のつもりで誠意的に真っ赤な嘘をつくヤツには弱いんだよなあ。
SSLってネットワーク屋の仕事でないトラブル多くない？
pass phrase忘れたとか、private keyって何ですか？とか。
iPla○指してこれから取り出してください、といわれたときにはマイッタ。
最近は取り出せるというウワサは聞いたけど、実際どうよ？

[0064 ponta 02/02/22 03:30 ID:eRyxvIr6]

>>金魚
F5 KKってホントにプレゼンだめな奴ばっかりよね。
持ってる情報古すぎるし、説得力０だった。
（確信犯だったかは、謎。）
F5のセミナーでは、日本語のプレゼンを聞いちゃいけない。
外人が来てしゃべるところだけ、聞けばいい。

彼ら、i-modeのL7スイッチングっつうネタで日本市場に根を
張り出してるから、そこから脱皮できてないんじゃないかな。
L4だったら、F5は高すぎるし、使わんほうがいいでしょ。だから、
L7って連呼してたんだと思う。

F5のSSLが800TPSがMAXで、750TPSがCPUの限界だったってのは本当。
昔はRainbowだけど、今はBroadcomのchipが載ってる。
それ以上は、SSL専用箱があるから、それを置けばいいってのが、
F5のやり方。それは今でもそうだね。

F5のL7はHTTP/1.1を全て読み取るところがミソなので、
他と簡単には比べられないかもしれないけど、20000transaction/sec
ぐらいは出てたよ。俺がテストしたときは。L4でもやってみたけど、
20000connection/sec以上出てた。それ以上は測定不能だった。

SSLはネットワーク屋の仕事じゃないっつーのに痛く同感。
ベリサインの証明書は、本当に負荷分散装置配下にあるサーバの
台数ごとに必要なんですか？？
なんて俺に聞かないでもらいたい。

[0065 anonymous 02/02/22 21:37 ID:kL/2PwFu]

IronはL2なら最強なんだけどね。
L7はだめ。

[0066 anonymous 02/02/23 02:21 ID:2wyPIKPd]

intelの7180,7185も忘れないで･･･
600 ssl/sec､1200 ssl/secだよ。
うーん､マニアックだ｡

[0067 金魚 02/02/23 03:01 ID:x7vk6bTZ]

>>64
broadcomとは知らなかった。ナルホド勉強になりました。
F5のsession handlingはHA+とかEnterpriseで17K〜21K/secだから
カタログスペック値は出ているということか。カタログは信じられるかな。
L7は判らんがL4での速さはAlteon, CSS, Ironか。
L7でのハンドリングスピードとSSLのオーバーヘッド、L7の自由度が今後の競争のポイントか。

SSL、台数ごととに必要ですか、オレも何十回と聞かれた質問。
頼むからVeri○ignのホームページ見てくれよ。CA局の問題なんだから。
多分苦しんでいるNEはいっぱいいるはず。
いろんな意味で、SSLを100TPSでもincludeしたF5には畏敬の念を表す。

[0068 金魚 02/02/23 03:05 ID:x7vk6bTZ]

>>66
intel NetStructure7180/85ね。
懐かしい思い出です。
DCで見たことない。
LBのsession handlingが数千だったもんな。SSLは拡張できないし。
7110/15の方が売れたんじゃないの？もうOEMもなくなるらしいけど。

[0069 名無しさん＠三年寝たろう 02/02/24 19:22 ID:RjSAo74Z]

>>68
7110/7115 は冗長性考えたときに直列に数珠繋ぎする
奇妙な方法だから、
通常の機器のようにVRRPとか専用のケーブルを使った
２重化の設計をするときが面倒くさい。確かに冗長を
考えない場合は、簡単で良いんだけれどね。逆に簡単
すぎて金取れないよ。ちなみに、OEM が無くなるって、確かHPが販売
していたと思うけれど、販売止めちゃうの？
ちなみにノーテル社について衝撃的な記事が....
http://www.hotwired.co.jp/news/news/business/story/20020215101.html
第二のエンロンかも？

[0070 HP＠三年寝てろ！！ 02/02/24 22:33 ID:???]

>>69
ＨＰも終わりだよ。

[0071 金魚 02/02/26 01:30 ID:6QyCjIde]

>>69
Active-Standbyでの負荷分散機と組み合わせるには上位に置くと待機系が遊ぶ
からね。かといって下に置くとSwitchではさむか、各サーバの前に置くしかない
けど、それだとL7での負荷分散できないし。

>>69
Nortelが倒れるっちゅうことはあるのかいな？カナダ政府がそうするのかね？
だれかがあおっているんじゃないの？まあアルゼンチン共和国債みたいなこと
があるのでまったく無いとは言えないけどね。エンロンどころじゃないよ。
ホントかいな？

[0072 そういえば 02/02/26 14:22 ID:GngezeY6]

Intelは旧7180の後継機を開発してるようだが。
主な特徴：i-modeパーシステンスに（ようやく）対応、
Management port搭載、見た目もちょっと変わる。コマンド体系はかなり変わる。

糞だったLB部分が少しまともになったと喜んでいたらｈｐが売らなくなるんだと。
開発機はどうなるのだろう。。。ＳＳＬに関してはＦ５より早かったのに。

[0073 名無しさん 02/02/26 16:06 ID:dMIGtakh]

>>72
結局 hp は直販で Cisco とか Alteon とか F5
をインテグレーションしているわけだから、
間接販売で NetStructure を販売しても意味ないわけだよね。
結局サポートもセンドバックだけで24時間オンサイトはないしね。
で、結局日本での一次代理店はどこになるのかな？

[0074 3年寝る 02/03/26 00:25 ID:Yu7xgvf/]

マクニカ？日商？そんなとこだっただろ。ただNetStructureとしての話だが。
1000TPSの出るらしいけど詳細きぼーん

[0075 FIPS 02/07/13 02:24 ID:???]

FIPS対応しているSSL Acceleratorはどんなところあるの？
SSL−LB−SSLは巨大IPだけなの？
知っていたら教えてください

[0076 ?? 02/07/14 01:14 ID:c33yAxVT]

> 75
Nortel の Alteon iSD-SSL 310/FIPS というのが対応している。
でも、日本じゃまだ売っていないかも。
FIPS 140-1 Level 3 Certified ってやつですね。
でも、日本でそれ要求するところあるの？

あと、SSL-LB-SSL ってのが End to End Encryption って
ことなら、iSD-SSL も ver.3.0 で対応している。

[0077 ?? 02/07/14 01:25 ID:c33yAxVT]

> 74
Alteon からも iSD-SSL 410 っていうのが予定されている。
これ 1000TPS 出る。

[0078 FIPS 02/07/14 21:46 ID:???]

>>76
お客様に聞かれました。
多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。
きっと高そうですね。
1000TPSは使いません・・・。

[0079 名無しさん＠ＸＥｍａｃｓ 02/07/15 18:26 ID:???]

>>78
> 多分FIPSを上がご要求なさるとか。本当に使うかは分かりませんが。

たしかに iSD には 310/FIPS というラインアップがあるけど、NIST
の FIPS-validated-product list には載ってないんだよねー。

どうなってるのやら。

あと、FIPS は取ってないけど、ANDES Network の PSSL シリーズは
“FIPS grade safe store”を謳ってるね。Brochure 通りならたしか
に機能的には level-3 はクリアしてそうに見える。

[0080 ?? 02/07/15 20:13 ID:???]

> 79
種明かし。単に Nortel とか iSD という名前で載っていないだけ。
実は 310/FIPS には Rainbow Technologies Inc. という会社の
CryptoSwift HSM というのが載っている。
これが FIPS 140-1 Level 3 --Certificate #162
を取得している。それだけのこと。（当然マニュアルには明記されているよ。）
ちなみに 310/FIPS じゃないモデルには何が載っているかは
知りません。

[0081 名無しさん＠ＸＥｍａｃｓ 02/07/16 15:13 ID:???]

>>80
> 種明かし。単に Nortel とか iSD という名前で載っていないだけ。

もちろん Alteon でも載ってなかったし。

> CryptoSwift HSM というのが載っている。
> これが FIPS 140-1 Level 3 --Certificate #162
> を取得している。それだけのこと。（当然マニュアルには明記されているよ。）

ｶﾞ━━(ﾟДﾟ;)━━ﾝ! んなのアリ？

よーし、お父さん、SSL アクセラレータに iButton 載っけて FIPS
PUB 140-1 Level 3 Certified と銘打って売っちゃうぞー。

はともかく、それなら筐体含めて tamper resistent な ANDES の方が
実質マシじゃないのか？

[0082 ?? 02/07/16 22:54 ID:???]

> 81
resistant ですよね？
それはさておき、Nortel も ANDES を... もごもご。

[0083 a 02/07/17 05:04 ID:???]

SSLアクセラレータといえば、普通箱型かPCIスロットに刺すタイプ
ですよね。Pentium4のSSE2やAthlonの3D!nowみたいに、最近は
マルチメディア演算用の命令積んだCPUも多いから、これをSSLの
高速化に使えないものかなぁ、なんて思うのですが。できる？

[0084 b 02/08/15 20:32 ID:j8R2cIgn]

作れば出来るんじゃない。

[0085 あぼーん NG NG]

あぼーん

[0086 nobody 02/08/15 23:27 ID:FwJ+Xgvm]

>83

マルチメディア系の演算命令がどんなものかわかってないとおもわれ

[0087 ﾒ?ﾂ?ﾂ?ﾂ?ﾂ?ﾘT 02/08/18 16:15 ID:MiT9MZAV]

>81
Andesはまだバグ多いらしいよ・・・

>82
その先は・・・（笑）Nortelも最近節操無いですね

SSLの負荷かけたいならCAWとか使えばって感じ。
SSLのカードって言っても結局NICとかBUSのトラフィックはCPU処理だから専用箱の方がいいんでないの？そんで鍵の管理は専用オペレーターがいるでしょ。LDAPとかHTTPとかFTPとかでCRL管理できるintelとiSDに一票。

[0088 anonymous 02/08/18 23:03 ID:ncvhMabQ]

>>83 >>86
UNIXのpasswdファイル解読して弱いパスワードを見つける
John the ripper っていうプログラムがあるけど、
こいつの中で DES の計算の高速化に MMX 命令使ってた。
(MMX には長いワードを一気に XOR する命令なんかが用意されている。)
ただし、SSLの計算で大きな時間を占める公開鍵暗号系
(RSAとかDSA)の高速化に応用できるかどうかはわからん。

[0089 あぼーん NG NG]

あぼーん

[0090 てて 02/08/29 23:11 ID:HIyJpOCJ]

>>89
アクセス権ネーってよ

[0091 俺の仕 02/12/19 23:11 ID:T6SJ/17u]

保存上げ

[0092 俺の仕 02/12/20 21:49 ID:W9DfQwvf]

保存上げ

[0093 山崎渉 03/01/15 22:27 ID:???]

（＾＾）

[0094 山崎渉 03/04/17 12:34 ID:???]

（＾＾）

[0095 あぼーん NG NG]

あぼーん

[0096 あぼーん NG NG]

あぼーん

[0097 あぼーん NG NG]

あぼーん

[0098 age 03/09/03 02:31 ID:???]

age

[0099 anonymous@ p6ea3c6.tkyoac00.ap.so-net.ne.jp 2005/09/23(金) 10:06:30 ID:gq7TxXBE]

SSLアクセラレータ＋SLB＋Webサーバー2台の環境で
通信の流れが想像できないっす。

公開するFQDNはSLBのIPアドレスがDNSに登録されていているようです。
だから、ブラウザからアクセスしに行くと、SLBに行ってアクセラレータを
経由しないでWebサーバーにいってしまうような気がするのです。
今は、業者さんが書いた申請書を元に想像してるだけなんで
申請書が間違っている可能性もあるんですが、こんな感じになってます。

SSLアクセラレータ　192.168.0.2　　実サーバー　192.168.0.10と192.168.0.11
SLB　　　　　　　　　　192.168.0.3　　実サーバー　192.168.0.10と192.168.0.11
Webサーバー１　　　192.168.0.10
Webサーバー２　　　192.168.0.11

申請書をお見せ出来ないので、何を言っているか分からないかもしれないですが、
私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
むしろそうでないといけないのでは？って思うのですがどうなんでしょうか。

[0100 hoge 2005/09/26(月) 09:28:35 ID:???]

>>99

> 私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
> むしろそうでないといけないのでは？って思うのですがどうなんでしょうか。

何を言っているかやっぱり分からないけど…
何となくそんな感じかな。

Client --> 負荷分散機 --> SSLｱｸｾﾗﾚｰﾀ --> 負荷分散機 --> 実ｻｰﾊﾞ
(Redirect処理) (負荷分散処理)

って感じが一般的だと思うけど。
細かいところはSIerさんに聞いてください、お金払ってるんですよね!?

[0101 99 2005/09/27(火) 00:51:45 ID:???]

>>100
レスありがとう。

SIerさんはSSLアクセラレータを入れるのにWebサーバに
証明書入れて443で受けようとしてた事もあり、まかせっきり
にするのもなと思い、勉強しているしだいです。

SLB　---　SSLアクセラレータ　--- SLB　という図を見て
納得しました。DNSにはSLBのFQDNが登録されるようなので
SSLアクセラレータにどう繋がるかが想像出来なかったんですが
L4スイッチというのでしょうか、SLBがその機能も持っている
ためアクセラレータからSLBに戻れるのですね。

当初の想像は
ブラウザ --- SSLアクセラレータ　---　SLB　---　Webサーバ
と考えてしまったため、通信の流れが？？？でした。

勉強になったっす！

[0102 hoge 2005/09/27(火) 02:30:44 ID:???]

>>101

> SIerさんはSSLアクセラレータを入れるのにWebサーバに
> 証明書入れて443で受けようとしてた事もあり、

SIerを庇ってる訳じゃないけど補足させて。
一般的にはSSLｱｸｾﾗﾚｰﾀが気が狂ってお亡くなりになった時のために、
実ｻｰﾊﾞにも証明書入れて443を待ち受けてたりするかも。
負荷分散機でもSSLｱｸｾﾗﾚｰﾀがお亡くなりになった時の設定が入ってるかも。

[0103 99 2005/09/27(火) 08:02:16 ID:???]

>>102
なるほど、気が利いているというか
専門外の私には思いも付かなかったです。

でも、そんな話してくれなかったな。。。シャイな人でも
無いんだが。
ちょっと聞いてみよ。

[0104 揚げ奉行 2006/12/14(木) 00:38:59 ID:???]

８

[0105 anonymous@softbank220031144017.bbtec.net 2007/02/27(火) 22:01:16 ID:ZX5upSE1]

暗号化や復号はwebサーバーにやらせて、証明書はロードバランサに入れるなんて事は
できますか？証明書は高いので少しでも安くしたい。でもＳＳＬロードバランサは高いし
すべての処理を任せるのは心もとないと考えてるんで。

[0106 anonymous@4.152.210.220.dy.bbexcite.jp 2007/02/28(水) 00:43:07 ID:???]

>>105
ほとんどの証明書は、バックエンドのwebサーバの台数分必要ですよ。

Verign
http://www.verisign.co.jp/server/help/license.html


【認証局】SSLに関するスレ１枚目【ぼろ儲け】
http://pc10.2ch.net/test/read.cgi/mysv/1071339107/l50

[0107 anonymous@softbank220031144017.bbtec.net 2007/02/28(水) 00:58:23 ID:cb2+emmN]

ロードバランサ使えば一枚でオーケーだった所があったはず。
基本的に盗聴されていようがいまいがあんまり気にはしないんだが費用にうるさい
会社なもんで、安く出来る方法ないかななどと思った次第。
バックエンドに入れる証明書をすべてのサーバーにコピーして入れちゃえばいいような
気もするんだがそれでは規約違反だろうし、後で怒られそうというわけです。
ばれなきゃいいという噂もあるが。。。

[0108 anonymous@softbank220031144017.bbtec.net 2007/02/28(水) 01:12:13 ID:cb2+emmN]

一つの方法として考えているのは、ＢＩＧ　ＩＰ　のＨＤにＮＦＳでパーティションを作って
各ウェブサーバーからＢＩＧ　ＩＰ内の証明書を取ってくるという形を考えてるんだが
それでうまくいくのかどうかは疑問かつ余計なトラフィックがロードバランサとウェブサーバー間で
発生するし、さすがに規約上無理がある気がしてる。

[0109 anonymous@4.152.210.220.dy.bbexcite.jp 2007/02/28(水) 01:52:53 ID:???]

>>107
BLADEとかLivedoorSSLが１枚でOKだったけどもう売ってない、、、

ほかに１枚でOKな証明書があればぜひ教えてほしい。

[0110 anonymous@softbank221089248024.bbtec.net 2007/03/08(木) 14:45:58 ID:I1NSe9OC]

SSLの関係者はここ見てる？
SSL今落ちてない？
ＳＳＬ使う認証のところＧｏｏもほかのとこもだめなんだけど？
メールチェックもできない
さっさとなおしやがれ