免责声明:我不是网络工程师而是软件工程师,所以我可能会混淆我的术语,请随时纠正我的错误!
我对我们的设置的理解是:
我们有一个 Netscaler(比如 F5),安装了返回给客户端的有效(签名/可信 CA)SSL 证书。该NetScaler可与我们运行的是Windows 2008 R2后端服务器依次进行通信和IIS 7等,这些通过HTTPS(443)用自己的证书,成为了网站/服务......然而,这些证书可能不是有效/信任/签名。
在我的“直接”通信世界中,我知道我希望看到一个错误/警告,指出证书不可信。但是,我不确定 Netscaler 将如何处理这种情况。它会向客户端返回错误还是简单地使用 Netscalers 有效证书中继数据?它会抛出某种错误吗?这是可配置的等吗?
非常感谢你。
Citrix NetScaler 将仅在明确要求时执行此操作。
http://docs.citrix.com/en-us/netscaler/10-5/ns-tmg-wrapper-10-con/ns-ssl-wrapper-con-10/ns-ssl-customize-ssl-config- con/ns-ssl-manage-server-auth-tsk.html(存档在这里。)
设备通常不会验证 Web 服务器的证书。[...]
要对服务器进行身份验证,您必须首先启用服务器身份验证,然后将签署服务器证书的 CA 的证书绑定到 NetScaler 上的 SSL 服务。绑定证书时,必须指定绑定为 CA 选项。
我知道这是一个老问题,但这里是文档(目前) https://docs.citrix.com/zh-cn/netscaler/11-1/ssl/customize-ssl-config/manage-server-auth。 html
如果您创建 SSL 服务(连接到服务器),它不会关心服务器证书的状态(默认情况下)。NS 处理 NS 和客户端(例如浏览器)之间的 SSL 卸载,假设这已经足够了。该服务在您的网络中,因此存在信任假设(更不用说更易于管理)。如果您确实希望 NS 仅连接到具有有效证书的 Web 服务器/服务,则可以对其进行配置。