我对 SSL 通信的想法有点模糊,我需要一些澄清。
我的应用程序的架构 - 运行应用程序的内部机器通过 BIG IP 服务器暴露于互联网。
我网站上的证书层次结构 - 根(2040 年到期) R - 中级(2036 年到期) I - xxxx.com(2 天后到期) F
我使用相同的根 CA 和中间 CA 创建了新证书。它是用不同的密钥创建的。我也有钥匙。
我的问题是:
1)当我使用独立应用程序从计算机 X(互联网上的一些随机机器)到暴露的 URL 执行 HTTP Post 时,SSL 握手应该发生在两个地方。a) 计算机 X 和 BIG -IP b) BIG-IP 和运行应用程序的内部机器。独立应用程序的密钥库中应该有 URL 的公共证书,即 R 和 I。正确的?或者我也应该拥有 xxxx.com 证书,即 F 吗?谁来决定这个?
2)这是一个不同的场景。我已将新创建的 xxxx.com 证书(它具有相同的根证书和中间证书 R 和 I)放在 BIG IP 服务器上。该证书的开始期限是 2014 年 8 月 1 日。虽然,我的内部实例仍然有旧证书。它于 2014 年 9 月 3 日到期。即使在这种情况下,我也能够成功发布。为什么会这样?由于新旧密钥的密钥不同,因此在 BIG-IP 和内部实例的 SSL 握手期间请求应该会失败。
请帮助我理解这两种情况。我会很感激。
谢谢