我的任务是部署和管理覆盖内部服务器和 DMZ 服务器的负载平衡器。我对此没有经验,这也是我所在组织第一次这样做。平衡器已启动、运行,合法。目前,我们正在使用 Exchange/OWA 的自签名证书。我知道我们应该有一个由 CA 签名的证书,但平衡器有 SSL 证书或中间证书选项,我不清楚它们之间的区别,也不清楚我们需要哪个。我们将在 DMZ 中托管 Lync、Exchange 和一些自定义应用程序。
免责声明:首先抱歉,我是桌面支持人员。我最近通过了 Net+ 考试。这似乎让我成为了这个组织的网络工程师。
答案1
如果我正确理解了这个问题,那么负载均衡器似乎位于其他服务器的前端。在这种情况下,客户端将打开与服务器的 SSL 连接,作为 SSL 握手的一部分,负载均衡器需要将其证书和证书的中间 CA 证书(如果根 CA 的层次结构中有多个证书)返回给客户端(作为 CERTIFICATE 消息的一部分),以便客户端可以验证/验证负载均衡器的证书并决定是否信任它。如果确认了负载均衡器证书到中间证书到根 CA 证书的层次结构(证书链),则客户端将信任它,并且 SSL 握手将继续进行,因为客户端信任根 CA 证书。有关 SSL 的简要说明:请参阅 TLS wiki 或本白皮书: http://www.symantec.com/content/en/us/enterprise/white_papers/b-wp_ecc.pdf[参见 SSL 部分]
答案2
假设 SSL 证书和中级证书是负载均衡器配置中的独立项,则无论您使用的是自签名证书还是 CA 签名证书,您始终都需要使用 SSL 证书配置项。如果您使用 CA 签名证书,CA 将为您提供中级证书,您需要将其添加到中级证书配置项中。