Мы используем F5 для балансировки нагрузки. При использовании моста SSL вместо завершения мы обычно используем подстановочный знак во внешнем интерфейсе и обычный сертификат SSL в бэкенде HTTPS.
Однако некоторые коллеги считают, что для некоторых приложений, таких как MS Exchange, мы должны использовать один и тот же закрытый ключ в серверной части и в балансировщике нагрузки.
Я не могу понять, как бэкэнд может проверить, какой закрытый ключ использовал балансировщик нагрузки. Я проверил Документация F5 но не могу найти ничего подходящего.
Может кто-нибудь помочь мне понять?
Обновление 1: Я начал с сильного подозрения, что это искажение того, что на самом деле происходит, несмотря на рассказы нескольких коллег. Это подозрение было подтверждено другими. Я обновлю, когда найду что-нибудь убедительное. Если у кого-то еще есть идея, отправьте ее.
Обновление 2: Для VMware Horizon я нашел Статья в базе знаний с объяснением ошибки получен, когда сертификаты не совпадают. Могу ли я сделать вывод, что Horizon выполняет собственную проверку, сравнивая отпечатки пальцев в своем протоколе?
Кажется, эта путаница происходит из двух мест:
Некоторые приложения используют собственный метод проверки того, что любое промежуточное устройство (например, балансировщик нагрузки) использует один и тот же сертификат. Например, VMware Horizon View отправляет отпечаток сертификата клиенту, который затем выполняет проверку. Это подробно описано в Документация VMware.
Также есть случай, когда балансировщик нагрузки выполняет мостовое соединение SSL и может быть настроен на ожидание того же сертификата от бэкэндов, что и тот, который он в настоящее время настроен для использования.
Таким образом, это было просто неправильным пониманием PKI и путаницей с требованиями приложения и / или конфигурацией балансировщика нагрузки.
Спасибо людям в r / системный администратор кто помог понять это.