web-dev-qa-db-ja.com

SSLブリッジングの場合、HTTPSバックエンドはロードバランサーが同じ秘密鍵を使用していることを確認しますか?もしそうなら、どのように?

F5を使用して負荷分散を実行しています。終了の代わりにSSLブリッジを使用する場合、通常、フロントエンドでワイルドカードを使用し、HTTPSバックエンドで通常のSSL証明書を使用します。

ただし、一部の同僚の間では、MS Exchangeなどの一部のアプリケーションでは、バックエンドとロードバランサーで同じ秘密鍵を使用する必要があるという信念があります。

ロードバランサーが使用した秘密鍵をバックエンドが確認する方法に頭を悩ませることはできません。 F5のドキュメント を確認しましたが、関連するものが見つかりません。

誰かが私を理解するのを手伝ってもらえますか?

更新1:私は、これが数人の同僚の説明にもかかわらず実際に起こっていることの不実表示であるという強い疑いから始めました。その疑惑は今や他の人々によって再確認されています。決定的なものが見つかったら更新します。他の誰かがアイデアを持っている場合は、提出してください。

更新2:VMware Horizo​​nの場合、証明書が一致しないときに受信した エラーを説明するKB記事 を見つけました。このことから、Horizo​​nが行っているのは、プロトコル内のフィンガープリントを比較することによって独自のチェックを実装していると結論付けることができますか?

7

したがって、この混乱は2つの場所から生じているようです。

  1. 一部のアプリケーションは、中間デバイス(ロードバランサーなど)が同じ証明書を使用していることを確認する独自の方法を使用します。たとえば、VMwareのHorizo​​n Viewは、証明書のフィンガープリントをクライアントに送信し、クライアントが検証を行います。これについては、 VMwareのドキュメント で詳しく説明されています。

  2. ロードバランサーがSSLブリッジングを実行していて、現在使用するように構成されているものと同じ証明書をバックエンドから期待するように構成されている場合もあります。

したがって、要約すると、これはPKIの誤解であり、アプリケーションで強制される要件やロードバランサーの構成との混同でした。

r/sysadmin の皆さん、これを理解するのを手伝ってくれてありがとう。

2