使用两个单独的 SSL 证书配置 F5 负载均衡器和 IIS Web 服务器答案

【问题标题】：Configuring F5 Load Balancer and IIS Web server with two separate SSL certificates使用两个单独的 SSL 证书配置 F5 负载均衡器和 IIS Web 服务器
【发布时间】：2017-02-28 10:42:40
【问题描述】：

我试图了解为什么特定的负载平衡器 --> Web 服务器配置有效，所以请允许我画图。

我有一个 F5 负载平衡器 (LB)，它将流量传递到 Web 服务器 (WSvr)。 WSvr 正在运行 IIS 8。

LB 有自己的 SSL 证书，即https://www.example.com。 WSvr 有一个单独的 SSL 证书，即https://myWebServer.example.com。

我预计这个 LB --> WSvr 配置会失败，但它确实有效，我真的不明白为什么。它不仅有效，而且我能够对托管在 WSvr 上的 Web 应用程序进行身份验证，这意味着会话始终保持活动状态。

我认为如果您选择在 LB 和 WSvr 上使用证书，则必须在两台机器上安装相同证书。即 LB IP 地址和 WSvr IP 地址必须映射到同一个 DNS 名称，即 www.example.com。不是两个完全独立的证书。（在我的例子中，LB 映射到 www.example.com。WSvr 映射到 myWebServer.example.com。）LB 是如何与 WSvr 通信并保持会话活动的？

这是我对上述场景的典型请求的描述（根据实际发生的情况，这显然是不正确的，但它说明了我认为它会失败的原因）：

获取https://www.example.com/login.html
LB 通过 LB 的 SSL 证书加密 www.example.com/login.html 并将其传递给 WSvr
从请求中剥离 SSL，终止会话。 WSvr 使用自己的 SSL 证书重新加密它，创建一个新会话。

如果有人能启发和引导我走上正确的道路并解释我为什么不正确以及为什么上述配置有效，我将不胜感激。

非常感谢您的宝贵时间。

【问题讨论】：

标签： ssl iis https ssl-certificate load-balancing

【解决方案1】：

这里的关键是有两个独立的连接（会话），因此有两个独立的 SSL 握手，一个在客户端和 LB 之间，另一个在 LB 和后端之间。第一次握手验证客户端想要连接到https://www.example.com，第二次验证LB想要连接到https://myWebServer.example.com。 SSL 没有“剥离”。客户端发送的每个请求都经过这两个连接，所以实际上它被加密了两次。

【讨论】：

令人着迷。泰。 1）那么，如果这里有两个单独的会话，为什么对 Web 应用程序的身份验证不会失败？还是会话绑定到 HTTPS，因此 SSL/TLS 除了加密内容之外没有任何作用？ 2) 如果我使用一个通配符 SSL 证书并将其应用于 LB 和 WSvr，有什么区别吗？还会有两个连接并且内容会被加密两次吗？或者，它会被视为一种联系吗？再次感谢。
(1) 取决于如何进行身份验证。是否为 webapp 打开了客户端证书身份验证？ (2) 如果您对 L4 VIP 使用“SSL Passthrough”之类的东西，您可以避免两个连接的唯一方法。这样可以避免双重加密。
TY。 (1) 我没有看到任何客户端证书身份验证打开。我将不得不对此进行进一步调查。 (2) 老实说，我不确定这个 F5 LB 是 L4 还是 L7。它可能是 L7 (HTTP)。所以我想安装什么样的 SSL 证书并不重要，如果有两个唯一的证书，或者 LB 和 WSvr 是否共享相同的 SSL 证书。通配符证书。 SAN 证书。没关系。 L7 VIP 是双重加密，对吗？拉胡尔，我真诚地感谢您对这个话题的洞察力。泰。
(1) 如果没有为 webapp 开启客户端证书认证，那么 webapp 就不会发生验证。 LB 甚至不需要在握手时出示证书。 (2) 对于 L7 VIP，由于两次 SSL 握手，将进行双重加密。 L4 VIP 不会终止 SSL，而只是将 L4 以上的所有内容作为有效负载“传递”。