Para ponte SSL, os back-ends HTTPS verificam se o balanceador de carga está usando a mesma chave privada? Se sim, como?

Question

Para ponte SSL, os back-ends HTTPS verificam se o balanceador de carga está usando a mesma chave privada? Se sim, como?

#1 resposta do (2 votos)

7

Estamos usando o F5 para realizar o balanceamento de carga. Ao usar ponte SSL em vez de terminação, geralmente usamos um curinga no front-end e um certificado SSL regular no back-end HTTPS.

No entanto, há algumas crenças entre alguns colegas de que, para alguns aplicativos como o MS Exchange, precisamos usar a mesma chave privada no back-end e no balanceador de carga.

Não consigo entender como o backend pode verificar qual chave privada o balanceador de carga usou. Eu verifiquei a documentação da F5 , mas não consigo encontrar nada relevante.

Alguém pode me ajudar a entender?

Atualização 1: Comecei com uma strong suspeita de que isso é uma deturpação do que realmente está acontecendo, apesar das contas de alguns colegas. Essa suspeita foi agora reafirmada por outros. Vou atualizar quando encontrar algo conclusivo. Se alguém mais tiver uma ideia, envie-a.

Atualização 2: Para o VMware Horizon, encontrei um artigo do KB explicando o erro recebido quando os certificados não coincidem. Posso concluir com isso que a Horizon está fazendo está implementando sua própria verificação comparando as impressões digitais em seu protocolo?

ssl https vdi load-balancing f5-big-ip

por Belmin Fernandez 21.12.2015 / 17:06

1 resposta

Tags ssl https vdi load-balancing f5-big-ip

Existe uma maneira de descobrir em qual cluster ou vcenter um servidor ESX está? Prática recomendada: notificar o remetente do e-mail de que a pesquisa inversa está quebrada

score 2 · Accepted Answer

Então, parece que essa confusão vem de dois lugares:

Alguns aplicativos usam seu próprio método de verificação de que qualquer dispositivo intermediário (por exemplo, balanceador de carga) está usando o mesmo certificado. Por exemplo, o Horizon View do VMware envia a impressão digital do certificado ao cliente que faz a verificação. Isso está detalhado em documentação da VMware .
Há também o caso em que o balanceador de carga está realizando a ponte SSL e pode ser configurado para esperar o mesmo certificado dos back-ends como o que está atualmente configurado para usar.

Assim, em resumo, isso foi apenas um mal-entendido de PKI e confusão com os requisitos impostos pelo aplicativo e / ou a configuração do balanceador de carga.

Obrigado ao pessoal do r / sysadmin que ajudou a descobrir este.