我们使用F5来执行负载平衡。 当使用SSL桥接而不是终止时,我们通常在前端使用通配符,在HTTPS后端使用常规的SSL证书。
然而,有些同事相信,对于像MS Exchange这样的应用,我们必须在后端和负载平衡器中使用相同的私钥。
我无法围绕后端如何检查负载均衡器使用的私钥。 我查了F5的文档,但是找不到任何相关的东西。
有人能帮我理解吗?
更新1:我开始强烈怀疑,这是一个虚假陈述,尽pipe有几个同事的帐户实际上发生了什么。 这种怀疑现在已被其他人重申。 当我find决定性的东西时我会更新。 如果有其他人有想法,请提交。
更新2:对于VMware Horizon,我发现了一篇KB文章,解释了证书不匹配时收到的错误 。 我可以从这里得出结论:Horizon正在做的是通过比较协议中的指纹来实现自己的检查吗?
所以好像这个混淆源于两个地方:
某些应用程序使用自己的方法来validation任何中间设备(例如负载均衡器)是否使用相同的证书。 例如,VMware Horizon View将证书指纹发送给进行validation的客户端。 这在VMware的文档中有详细描述 。
还有一种情况是负载平衡器正在执行SSL桥接,并可能configuration为期望从后端获得与当前configuration使用的证书相同的证书。
总而言之,这只是对PKI的一种误解,与应用强制要求和/或负载平衡器configuration混淆。
感谢r / sysadmin中帮助解决这个问题的人们。