对于 SSL 桥接,HTTPS 后端是否会验证负载均衡器是否使用相同的私钥?如果是,如何验证?

对于 SSL 桥接,HTTPS 后端是否会验证负载均衡器是否使用相同的私钥?如果是,如何验证?

我们使用 F5 来执行负载平衡。当使用 SSL 桥接而不是终止时,我们通常在前端使用通配符,在 HTTPS 后端使用常规 SSL 证书。

然而,一些同事认为,对于某些应用程序(例如 MS Exchange),我们必须在后端和负载均衡器中使用相同的私钥。

我无法理解后端如何能够检查负载均衡器使用的私钥。我检查了F5 的文档但找不到任何相关内容。

有人能帮助我理解吗?

更新 1:一开始我强烈怀疑这是对实际发生情况的歪曲描述,尽管有几位同事的说法。现在其他人再次证实了这种怀疑。当我找到确凿的证据时,我会更新。如果其他人有想法,请提交。

更新 2:对于 VMware Horizo​​n,我发现解释错误的知识库文章当证书不匹配时会收到。我可以从中得出结论,Horizo​​n 正在通过比较其协议中的指纹来实施自己的检查吗?

答案1

因此,这种混乱似乎源于两个地方:

  1. 某些应用程序使用自己的方法来验证任何中间设备(例如负载平衡器)是否使用相同的证书。例如,VMware 的 Horizo​​n View 将证书指纹发送给客户端,然后由客户端进行验证。这在VMware 的文档

  2. 还有一种情况是,负载均衡器正在执行 SSL 桥接,并且可以配置为期望来自后端的证书与当前配置使用的证书相同。

因此,总而言之,这只是对 PKI 的误解以及与应用程序强制要求和/或负载均衡器配置的混淆。

感谢r/系统管理员谁帮助解决了这个问题。

相关内容