gpt4 book ai didi

ssl - 使用两个单独的 SSL 证书配置 F5 负载平衡器和 IIS Web 服务器

转载 作者:太空宇宙 更新时间:2023-11-03 13:23:45 25 4
gpt4 key购买 nike

我试图理解为什么特定的负载均衡器 --> Web 服务器配置有效,所以请允许我描绘一下。

我有一个 F5 负载平衡器 (LB),它将流量传递到 Web 服务器 (WSvr)。 WSvr 正在运行 IIS 8。

LB 有自己的 SSL 证书,即 https://www.example.com . WSvr 有一个单独的 SSL 证书,即 https://myWebServer.example.com .

我预计这个 LB --> WSvr 配置会失败,但它确实有效,我真的不明白为什么。它不仅有效,而且我能够对 WSvr 上托管的 Web 应用程序进行身份验证,这意味着 session 始终保持事件状态。

我认为如果您选择在 LB 和 WSvr 上使用证书,则必须在两台机器上安装相同证书。也就是说,LB IP 地址和 WSvr IP 地址必须映射到相同的 DNS 名称,即 www.example.com。不是两个完全独立的证书。 (在我的例子中,LB 映射到 www.example.com。WSvr 映射到 myWebServer.example.com。)LB 如何与 WSvr 对话并保持 session 事件?

这就是我对上述场景的典型请求的描述(根据实际发生的情况,这显然是不正确的,但它说明了我认为它会失败的原因):

  1. 获取https://www.example.com/login.html

  2. LB 通过 LB 的 SSL 证书加密 www.example.com/login.html 并将其传递给 WSvr

  3. SSL 从请求中剥离,终止 session 。 WSvr 使用自己的 SSL 证书重新加密它,创建一个新 session 。

如果有人能启发我并引导我走上正确的道路并解释为什么我不正确以及为什么上述配置有效,我将不胜感激。

非常感谢您的宝贵时间。

最佳答案

这里的关键是有两个独立的连接( session ),因此有两个独立的 SSL 握手,一个在客户端和 LB 之间,另一个在 LB 和后端之间。第一次握手验证客户端想要连接到 https://www.example.com第二个验证 LB 想要连接到 https://myWebServer.example.com .没有 SSL 的“剥离”。客户端发送的每个请求都经过这两个连接,所以实际上,它被加密了两次。

关于ssl - 使用两个单独的 SSL 证书配置 F5 负载平衡器和 IIS Web 服务器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40120422/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com