Então, parece que essa confusão vem de dois lugares:
-
Alguns aplicativos usam seu próprio método de verificação de que qualquer dispositivo intermediário (por exemplo, balanceador de carga) está usando o mesmo certificado. Por exemplo, o Horizon View do VMware envia a impressão digital do certificado ao cliente que faz a verificação. Isso está detalhado em documentação da VMware .
-
Há também o caso em que o balanceador de carga está realizando a ponte SSL e pode ser configurado para esperar o mesmo certificado dos back-ends como o que está atualmente configurado para usar.
Assim, em resumo, isso foi apenas um mal-entendido de PKI e confusão com os requisitos impostos pelo aplicativo e / ou a configuração do balanceador de carga.
Obrigado ao pessoal do r / sysadmin que ajudou a descobrir este.