Ssl

對於 SSL 橋接,HTTPS 後端是否驗證負載均衡器使用相同的私鑰?如果是這樣,怎麼做?

  • December 22, 2015

我們使用 F5 來執行負載平衡。當使用 SSL 橋接而不是終止時,我們通常在前端使用萬用字元,在 HTTPS 後端使用正常 SSL 證書。

但是,一些同事認為,對於像 MS Exchange 這樣的應用程序,我們必須在後端和負載均衡器中使用相同的私鑰。

我無法理解後端如何檢查負載均衡器使用的私鑰。我檢查了F5 的文件,但找不到任何相關內容。

有人可以幫我理解嗎?

**更新 1:**我開始強烈懷疑這是對實際情況的歪曲,儘管有幾個同事的說法。這種懷疑現在得到了其他人的重申。當我找到結論性的東西時,我會更新。如果其他人有想法,請送出。

**更新 2:**對於 VMware Horizo​​n,我找到了一篇 KB 文章,解釋了證書不匹配時收到的錯誤。我可以由此得出結論,Horizo​​n 正在通過比較其協議中的指紋來實現它自己的檢查嗎?

所以似乎這種混亂源於兩個地方:

  1. 一些應用程序使用他們自己的方法來驗證任何中間設備(例如負載平衡器)是否使用相同的證書。例如,VMware 的 Horizo​​n View 將證書指紋發送給客戶端,然後由客戶端進行驗證。這在VMware 的文件中有詳細說明。
  2. 還有一種情況是負載均衡器正在執行 SSL 橋接,並且可能配置為期望來自後端的證書與其目前配置使用的證書相同。

因此,總而言之,這只是對 PKI 的誤解以及與應用程序強制要求和/或負載平衡器配置的混淆。

感謝r/sysadmin中幫助解決這個問題的人。

引用自:https://serverfault.com/questions/744537