配置Apache和F5负载均衡器。
从Apache层我们生成CSR并获得可信任的cer:
1).cer
2).p7b
然后我将.cer
和.p7b
文件转换为.crt
文件,并在我们的apache中配置为密钥文件,证书和链。
在F5和Apache之间配置SSL时,我们遇到了一些问题。我们的流程是:
Client(SSL) -> F5 (SSL drops ) -> (recreate ssl to apache layer) -> Apache webserver.
1)从apache web层创建CSR,获得公司信任的标志(非外部)
2)在ssl.conf
和ciphersuite
现在使用openssl发起请求,它正在抛出:
depth = 1
DC = net
DC = racb
CN = XXXXXX
CA 1 verify error:num=20:unable to get local issuer certificate read from 0x1b9c8d0 [0x1ca04f3] (5 bytes => 5 (0x5))
为了验证它,我将/etc/hosts
条目修改为xxx.xxx.xxx.net
作为127.0.0.1
,并将链证书移至/etc/pki/ca-trust/source/anchor
并update-ca-trust
提取并运行openssl
返回错误code=0
并在SSL会话中等待。
我们在F5做的错误不知道。
有人可以开灯吗?
答案 0 :(得分:-1)
如果您正在设置桥接配置,则需要SSL客户端配置文件(通常是您的Apache密钥/证书/链)和SSL服务器配置文件,并且都是在虚拟服务器配置上选择的。
对于客户端配置文件,首先需要导入私钥,证书,当然,您必须在“证书”屏幕上看到私钥与证书匹配。
通常对于服务器配置文件,如果我们知道我们可以信任后端服务器,而不是使用您自己的证书设置某些内容,我们只选择不安全兼容的配置文件,它几乎适用于所有情况。
如果不需要设置SNI,那就足以让它工作了。