Ssl
對於 SSL 橋接,HTTPS 後端是否驗證負載均衡器使用相同的私鑰?如果是這樣,怎麼做?
我們使用 F5 來執行負載平衡。當使用 SSL 橋接而不是終止時,我們通常在前端使用萬用字元,在 HTTPS 後端使用正常 SSL 證書。
但是,一些同事認為,對於像 MS Exchange 這樣的應用程序,我們必須在後端和負載均衡器中使用相同的私鑰。
我無法理解後端如何檢查負載均衡器使用的私鑰。我檢查了F5 的文件,但找不到任何相關內容。
有人可以幫我理解嗎?
**更新 1:**我開始強烈懷疑這是對實際情況的歪曲,儘管有幾個同事的說法。這種懷疑現在得到了其他人的重申。當我找到結論性的東西時,我會更新。如果其他人有想法,請送出。
**更新 2:**對於 VMware Horizon,我找到了一篇 KB 文章,解釋了證書不匹配時收到的錯誤。我可以由此得出結論,Horizon 正在通過比較其協議中的指紋來實現它自己的檢查嗎?
所以似乎這種混亂源於兩個地方:
- 一些應用程序使用他們自己的方法來驗證任何中間設備(例如負載平衡器)是否使用相同的證書。例如,VMware 的 Horizon View 將證書指紋發送給客戶端,然後由客戶端進行驗證。這在VMware 的文件中有詳細說明。
- 還有一種情況是負載均衡器正在執行 SSL 橋接,並且可能配置為期望來自後端的證書與其目前配置使用的證書相同。
因此,總而言之,這只是對 PKI 的誤解以及與應用程序強制要求和/或負載平衡器配置的混淆。
感謝r/sysadmin中幫助解決這個問題的人。