Назад | Перейти на главную страницу

Сертификаты SSL или промежуточные для DMZ

Мне было поручено развернуть и управлять балансировщиками нагрузки, покрывающими внутренние серверы и серверы DMZ. У меня нет опыта в этом, и это также впервые для моей организации. Балансировщики в рабочем состоянии, работают нормально. В настоящее время мы используем самозаверяющий сертификат для Exchange / OWA. Я знаю, что у нас должен быть сертификат, подписанный центром сертификации, но у балансировщика есть варианты для сертификата SSL или промежуточного сертификата, и я не понимаю, в чем разница или что нам нужно. Мы будем размещать Lync, Exchange и некоторые пользовательские приложения в DMZ.

Заявление об отказе от ответственности: приношу извинения, я техподдержка. Недавно прошел свой инет +. Похоже, это сделало меня сетевым инженером в этой организации.

Предполагая, что сертификат ssl и промежуточный сертификат являются отдельными элементами в конфигурации балансировщика нагрузки, вам всегда нужно будет использовать элемент конфигурации сертификата ssl независимо от того, используете ли вы самозаверяющий сертификат или сертификат, подписанный ЦС. Если вы используете сертификат, подписанный ЦС, ЦС предоставит вам промежуточные сертификаты, которые вы должны добавить в элемент конфигурации промежуточного сертификата.

Если я правильно понял вопрос, похоже, что балансировщик нагрузки выходит на другие серверы. В этом случае клиент откроет SSL-соединение с сервером, и в рамках подтверждения SSL балансировщик нагрузки должен будет вернуть свой сертификат и сертификат сертификатов промежуточного ЦС (если в иерархии их больше одного корневой ЦС) клиенту (как часть сообщения CERTIFICATE), чтобы клиент мог проверить / проверить сертификат балансировщика нагрузки и принять решение, доверять ему или нет. Ему будет доверять клиент, и подтверждение SSL будет продолжено, если иерархия (цепочка сертификатов) сертификата балансировщика нагрузки до промежуточного сертификата к сертификату корневого ЦС подтверждена, поскольку клиент доверяет сертификату корневого ЦС. Краткое описание SSL: см. Вики TLS или, возможно, этот технический документ: http://www.symantec.com/content/en/us/enterprise/white_papers/b-wp_ecc.pdf [см. раздел SSL]