Überprüfen HTTPS-Backends beim SSL-Bridging, ob der Load Balancer denselben privaten Schlüssel verwendet? Wenn das so ist, wie?

7

Wir verwenden den F5, um einen Lastausgleich durchzuführen. Wenn Sie SSL-Bridging anstelle von Terminierung verwenden, verwenden wir im Front-End im Allgemeinen einen Platzhalter und im HTTPS-Backend ein reguläres SSL-Zertifikat.

Einige Kollegen sind jedoch der Ansicht, dass wir für einige Anwendungen wie MS Exchange denselben privaten Schlüssel im Backend und im Load Balancer verwenden müssen.

Ich kann mich nicht darum kümmern, wie das Backend überprüfen kann, welchen privaten Schlüssel der Load Balancer verwendet hat. Ich habe die Dokumentation von F5 überprüft , kann aber nichts Relevantes finden.

Kann mir jemand helfen zu verstehen?

Update 1: Ich begann mit dem starken Verdacht, dass dies eine falsche Darstellung dessen ist, was trotz der Berichte einiger Kollegen tatsächlich passiert. Dieser Verdacht wurde jetzt von anderen bestätigt. Ich werde aktualisieren, wenn ich etwas aussagekräftiges finde. Wenn jemand eine Idee hat, bitte einreichen.

Update 2: Für VMware Horizon habe ich einen KB-Artikel gefunden, in dem der Fehler erläutert wird, der auftritt, wenn die Zertifikate nicht übereinstimmen. Kann ich daraus schließen, dass Horizon eine eigene Prüfung durch Vergleich der Fingerabdrücke in seinem Protokoll durchführt?

Belmin Fernandez
quelle

Antworten:

2

Es scheint also, dass diese Verwirrung von zwei Stellen herrührt:

  1. Einige Anwendungen verwenden ihre eigene Methode, um zu überprüfen, ob ein Zwischengerät (z. B. Load Balancer) dasselbe Zertifikat verwendet. Beispielsweise sendet Horizon View von VMware den Zertifikatfingerabdruck an den Client, der dann die Überprüfung durchführt. Dies wird in der VMware-Dokumentation beschrieben .

  2. Es gibt auch den Fall, dass der Load Balancer eine SSL-Überbrückung durchführt und möglicherweise so konfiguriert ist, dass von den Backends dasselbe Zertifikat erwartet wird wie das, für das er derzeit konfiguriert ist.

Zusammenfassend war dies nur ein Missverständnis der PKI und eine Verwechslung mit den durch die Anwendung erzwungenen Anforderungen und / oder der Konfiguration des Load Balancers.

Vielen Dank an die Leute in r / sysadmin, die geholfen haben, dies herauszufinden.

Belmin Fernandez
quelle
Ja, ich denke, die allgemeine Antwort darauf lautet, dass HTTPS als Transport solche Überprüfungen nicht vorschreibt. Einige Client / Server-Interaktionen haben jedoch solche Überprüfungen eingebaut, um eine ungestörte Nicht-MITM-Kommunikation sicherzustellen. Beispielsweise sind unterschiedliche Zertifikate auf dem Load Balancer von den Web-Frontends ein gängiges Mittel zum Implementieren des HTTPS-Load Balancing für Microsoft SharePoint, und weder SP noch die Anwendungen des Endbenutzers kümmern sich über die Pipeline um eine Änderung des HTTPS-Zertifikats.
Ashley