對於 SSL 橋接，HTTPS 後端是否驗證負載均衡器使用相同的私鑰？如果是這樣，怎麼做？

我們使用 F5 來執行負載平衡。當使用 SSL 橋接而不是終止時，我們通常在前端使用萬用字元，在 HTTPS 後端使用正常 SSL 證書。

但是，一些同事認為，對於像 MS Exchange 這樣的應用程序，我們必須在後端和負載均衡器中使用相同的私鑰。

我無法理解後端如何檢查負載均衡器使用的私鑰。我檢查了F5 的文件，但找不到任何相關內容。

有人可以幫我理解嗎？

**更新 1：**我開始強烈懷疑這是對實際情況的歪曲，儘管有幾個同事的說法。這種懷疑現在得到了其他人的重申。當我找到結論性的東西時，我會更新。如果其他人有想法，請送出。

**更新 2：**對於 VMware Horizo​​n，我找到了一篇 KB 文章，解釋了證書不匹配時收到的錯誤。我可以由此得出結論，Horizo​​n 正在通過比較其協議中的指紋來實現它自己的檢查嗎？

所以似乎這種混亂源於兩個地方：

1. 一些應用程序使用他們自己的方法來驗證任何中間設備（例如負載平衡器）是否使用相同的證書。例如，VMware 的 Horizo​​n View 將證書指紋發送給客戶端，然後由客戶端進行驗證。這在VMware 的文件中有詳細說明。
2. 還有一種情況是負載均衡器正在執行 SSL 橋接，並且可能配置為期望來自後端的證書與其目前配置使用的證書相同。

因此，總而言之，這只是對 PKI 的誤解以及與應用程序強制要求和/或負載平衡器配置的混淆。

感謝r/sysadmin中幫助解決這個問題的人。

引用自：https://serverfault.com/questions/744537