BIg-F5和Apache SSL配置

时间:2018-02-24 10:45:17

标签: apache ssl f5

配置Apache和F5负载均衡器。

从Apache层我们生成CSR并获得可信任的cer:

1).cer

2).p7b

然后我将.cer.p7b文件转换为.crt文件,并在我们的apache中配置为密钥文件,证书和链。

在F5和Apache之间配置SSL时,我们遇到了一些问题。我们的流程是:

Client(SSL) -> F5 (SSL drops ) -> (recreate ssl to apache layer) -> Apache webserver. 

1)从apache web层创建CSR,获得公司信任的标志(非外部)

2)在ssl.confciphersuite

中进行配置

现在使用openssl发起请求,它正在抛出:

depth = 1 
DC = net 
DC = racb 
CN = XXXXXX 

CA 1 verify error:num=20:unable to get local issuer certificate read from 0x1b9c8d0 [0x1ca04f3] (5 bytes => 5 (0x5))

为了验证它,我将/etc/hosts条目修改为xxx.xxx.xxx.net作为127.0.0.1,并将链证书移至/etc/pki/ca-trust/source/anchorupdate-ca-trust提取并运行openssl返回错误code=0并在SSL会话中等待。

我们在F5做的错误不知道。

有人可以开灯吗?

1 个答案:

答案 0 :(得分:-1)

如果您正在设置桥接配置,则需要SSL客户端配置文件(通常是您的Apache密钥/证书/链)和SSL服务器配置文件,并且都是在虚拟服务器配置上选择的。

对于客户端配置文件,首先需要导入私钥,证书,当然,您必须在“证书”屏幕上看到私钥与证书匹配。

通常对于服务器配置文件,如果我们知道我们可以信任后端服务器,而不是使用您自己的证书设置某些内容,我们只选择不安全兼容的配置文件,它几乎适用于所有情况。

如果不需要设置SNI,那就足以让它工作了。