SSL证书过期

Question

我对SSL通信的想法有点模糊，我需要一些澄清。

我的应用程序的架构-运行应用程序的内部机器通过一个大的IP服务器暴露到互联网上。

我网站上的证书层次结构-根(2040年到期)R-中间(2036年到期)I- xxxx.com (2天后到期)F

我使用相同的根CA和中间CA创建了新证书。它是用不同的密钥创建的。我也有钥匙。

我的问题是：

1)当我使用独立的应用程序从计算机X(internet上的某个随机机器)到公开的URL上执行HTTP Post时，SSL握手应该发生在两个地方。a)计算机X和BIG-IP b) BIG -IP和运行应用程序的内部机器。独立的应用程序应该在其密钥存储中具有URL的公共证书，即R和I。对，是这样?或者我是否也应该拥有xxxx.com证书，即F证书？谁来决定这件事？

2)这是一个不同的场景。我已经将新创建的xxxx.com证书(它具有相同的根证书和中间证书R和I)放在大IP服务器上。本证书有效期为2014年8月1日。不过，我的内部实例仍然具有旧证书。2014年9月3日到期。即使在这种情况下，我也能够成功发帖。为甚麽呢？由于新旧密钥不同，在BIG-IP和Internal实例的SSL握手过程中，请求会失败。

请帮助我理解这两个场景。我会很感激的。

谢谢

Answer 1

根CA应该位于客户端计算机的受信任证书存储库中。如果要卸载，服务器(BIG-IP)应具有中间证书和fqdn (或SAN/通配符)的证书。如果您在BIG-IP上卸载，并且没有重新加密到源站，那么您不需要在源站上有任何证书。如果是，那么它将与BIG-IP具有中间证书和服务器证书的设置相同。

如果中间证书和服务器证书是由不受客户端信任的根证书(内部证书或没有标准受信任CA的自定义客户端)签名的，则需要确保客户端手动安装或推送根CA。