BIg-F5 和 Apache SSL 配置

Question

配置 Apache 和 F5 负载均衡器。

从 Apache 层我们生成 CSR 并获得可信 cer：

1).cer

2) .p7b

然后我将.cer和.p7b文件转换为.crt文件并在我们的apache中配置为密钥文件、证书和链。

在 F5 和 Apache 之间配置 SSL 时，我们遇到了一些问题。我们的流程是：

Client(SSL) -> F5 (SSL drops ) -> (recreate ssl to apache layer) -> Apache webserver. 

1) 从 apache web 层创建 CSR，从公司（非外部）获得信任的签名

2) 在ssl.conf 和ciphersuite 中配置

现在使用它抛出的 openssl 发起一个请求：

depth = 1 
DC = net 
DC = racb 
CN = XXXXXX 

CA 1 verify error:num=20:unable to get local issuer certificate read from 0x1b9c8d0 [0x1ca04f3] (5 bytes => 5 (0x5))

为了验证它，我将/etc/hosts 条目修改为xxx.xxx.xxx.net 为127.0.0.1，并将链证书移动到/etc/pki/ca-trust/source/anchor 和update-ca-trust 提取并运行openssl，它返回错误@987654336 @ 并在 SSL 会话中等待。

不知道我们在 F5 中犯了什么错误。

有人可以扔灯吗？

Answer 1

如果您要设置桥接配置，则需要 SSL 客户端配置文件（通常您使用 Apache 密钥/证书/链）和 SSL 服务器配置文件，并且两者都在虚拟服务器配置中选择。

对于客户端配置文件，您首先需要导入私钥、证书，当然您必须在“证书”屏幕上看到私钥与证书匹配。

通常对于服务器配置文件，如果我们知道我们可以信任后端服务器，而不是使用您自己的证书设置某些东西，我们只需选择不安全兼容的配置文件，它几乎适用于所有情况。

如果不需要设置SNI，让它工作就足够了。