Estamos usando o F5 para realizar o balanceamento de carga. Ao usar ponte SSL em vez de terminação, geralmente usamos um curinga no front-end e um certificado SSL regular no back-end HTTPS.
No entanto, alguns colegas acreditam que, para alguns aplicativos como o MS Exchange, temos que usar a mesma chave privada no back-end e no balanceador de carga.
Não consigo entender como o back-end é capaz de verificar qual chave privada o balanceador de carga usou. Verifiquei a documentação do F5, mas não encontrei nada relevante.
Alguém pode me ajudar a entender?
Atualização 1: Comecei com uma forte suspeita de que isso é uma deturpação do que realmente está acontecendo, apesar dos relatos de alguns colegas. Essa suspeita foi agora reafirmada por outros. Vou atualizar quando encontrar algo conclusivo. Se mais alguém tiver alguma ideia, por favor envie.
Atualização 2: para o VMware Horizon, encontrei um artigo da KB explicando o erro recebido quando os certificados não correspondem. Posso concluir disso que a Horizon está implementando sua própria verificação comparando as impressões digitais em seu protocolo?
Então parece que essa confusão decorre de dois lugares:
Alguns aplicativos usam seu próprio método para verificar se algum dispositivo intermediário (por exemplo, balanceador de carga) está usando o mesmo certificado. Por exemplo, o Horizon View da VMware envia a impressão digital do certificado para o cliente que faz a verificação. Isso está detalhado na documentação do VMware .
Há também o caso em que o balanceador de carga está executando a ponte SSL e pode ser configurado para esperar o mesmo certificado dos back-ends que está configurado para usar no momento.
Portanto, em resumo, isso foi apenas um mal-entendido sobre PKI e confusão com requisitos impostos pelo aplicativo e/ou configuração do balanceador de carga.
Obrigado ao pessoal do r/sysadmin que ajudou a descobrir isso.