Bel*_*dez 7 ssl https load-balancing f5-big-ip vdi
我们正在使用 F5 来执行负载平衡。当使用 SSL 桥接而不是终止时,我们通常在前端使用通配符,在 HTTPS 后端使用常规 SSL 证书。
但是,一些同事认为,对于 MS Exchange 等某些应用程序,我们必须在后端和负载均衡器中使用相同的私钥。
我无法理解后端如何检查负载均衡器使用的私钥。我检查了F5 的文档,但找不到任何相关内容。
有人可以帮我理解吗?
更新 1:我开始强烈怀疑这是对实际发生的事情的歪曲,尽管有几个同事的说法。现在,其他人再次证实了这种怀疑。当我找到结论时,我会更新。如果其他人有任何想法,请提交。
更新 2:对于 VMware Horizon,我找到了一篇知识库文章,解释了证书不匹配时收到的错误。我可以由此得出结论,Horizon 正在通过比较其协议中的指纹来实现自己的检查吗?
所以看来这种混乱源于两个地方:
某些应用程序使用自己的方法来验证任何中间设备(例如负载平衡器)是否正在使用相同的证书。例如,VMware 的 Horizon View 将证书指纹发送给客户端,然后由客户端进行验证。VMware 的文档对此进行了详细说明。
还有一种情况是,负载均衡器正在执行 SSL 桥接,并且可能被配置为期望来自后端的证书与当前配置使用的证书相同。
因此,总而言之,这只是对 PKI 的误解以及对应用程序强制要求和/或负载均衡器配置的混淆。
感谢r/sysadmin中帮助解决这一问题的人员。
| 归档时间: |
|
| 查看次数: |
1772 次 |
| 最近记录: |