Καλησπέρα σε όλους.

Έστω ότι έχω στήσει ένα 3-tier "περιβάλλον"  (επιτρέψτε μου την ατυχή έκφραση) και θέλω να εφαρμόσω σε αυτό SSL Certs.

Έστω ότι ο Application Server μου έχει την IP A, ο database server μου έχει την Β και ο κάθε client έχει την Χ.

Είμαι υποχρεωμένος να αγοράσω 2 SSL Certs?
Δηλαδή:
Ένα Cert για την επικοινωνία Χ με A και ένα για την επικοινωνία A με B;

Παρακαλώ λάβετε σαν δεδομένο ότι δεν θέλω με τίποτα Self-Signed Certs...

Σας ευχαριστώ όλους (είτε απαντήσετε είτε όχι) για τον χρόνο σας.

To certificate αφορά τον server προς τον οποίο μιλάς, όχι τους clients. Στην περίπτωση σου, και ο application server είναι άλλος ένας client όσον αφορά τον database Server. Συνεπώς, χρειάζεσαι μόνο ένα certificate.

Βρίσκω πολύ περίεργη πάντως την επιλογή οι διάφοροι clients να χτυπάνε κατευθείαν τον  database server. Και το security υποφέρει (ξεχωριστοί users, κίνδυνος injection, "κακών" ή απλά χαζών queries από τους clients) και το performance θα είναι πολύ χειρότερο, ενώ χάνεις κάθε ευκαιρία να χρησιμοποιήσεις caching. Το λογικό θα ήταν οι clients να χτυπάνε τον application server.

Αν ο application server είναι προβληματικός, θα μπορούσες εύκολα να φτιάξεις ένα Web API site για να βγάλεις ένα Rest API προς τους πίνακες θέλεις να βλέπουν οι clients, ή να χρησιμοποιήσεις OData για να αυτοματοποιήσεις τη διαδικασία.

Παναγιώτης Καναβός:

...Βρίσκω πολύ περίεργη πάντως την επιλογή οι διάφοροι clients να χτυπάνε κατευθείαν τον  database server. ...

Παναγιώτη πολύ καλά κάνεις και βρίσκεις περίεργη την επιλογή διότι την έχω δώσει λάθος.

Sorry, την διόρθωσα και στο αρχικό post!!
S O R R Y !!
Φυσικά εννοώ οτι οι χρήστες (Χ) "χτυπούν" τον Application Server (A) και αυτός τον DB server (B).

Κοίτα, θέλω οπωσδήποτε ένα Cert στον Application Server  ώστε να έχω encrypted connections from client to application server.

Και (νομίζω) οτι αν θέλω και encrypted connections από τον Application Server στον Database Server (SQL Server) θέλω επίσης ένα Cert στον Database server διότι σε ΚΑΘΕ περίπτωση θα ήθελα να αποφύγω εκπλήξεις του στυλ MITM attacks γι' αυτό και δεν θέλω Self-Signed.

Όπως λέει και MS:

SSL connections that are encrypted by using a self-signed certificate do not provide strong security. They are susceptible to man-in-the-middle attacks. You should not rely on SSL using self-signed certificates in a production environment or on servers that are connected to the Internet.
Πηγή: http://technet.microsoft.com/en-us/library/ms189067%28v=sql.105%29.aspx

Αν όπως λες, έβαζα μόνο ένα Cert φυσικά θα το έβαζα σε έναν από τους A, B. Έτσι θα εξασφάλιζα μόνο της encrypted επικοινωνία της μίας πλευράς (Χ->Α ή Α->Β) ενώ η άλλη θα ήταν εκτεθειμένη.

Συνήθως βάζουν SSL στο Χ -> Α (Users to Application-Server).

H επικοινωνία όμως του A (Application server) με τον B (Database Server) εφόσον δεν θα ήταν encrypted, θα ήταν ευάλωτη σε διάφορα MITM attacks...
Άρα (λέω οτι ίσως) θέλω κι άλλο ένα Cert στον Database Server. 

Sorry for bumping....

Καμιά καλή πρόταση... κάποιος;
Είναι τα 2 Certs μονόδρομος τελικά;