Peerzertifikatverifizierung

Bei Compute Cloud@Customer stellt die Verifizierung des Peerzertifikats die gegenseitige Authentifizierung zwischen Client und Load Balancer her.

Wenn SSL auf dem Load Balancer eingerichtet ist, antwortet der Listener auf eine eingehende Clientanforderung mit einem Zertifikat, das der Client auf Authentizität prüfen kann. Durch die Aktivierung der Peerzertifikatverifizierung wird eine zusätzliche Sicherheitsebene hinzugefügt: Der Client (Peer) muss ein Zertifikat bereitstellen, das der Listener validieren kann.

Wenn die Peerzertifikatverifizierung falsch konfiguriert ist, kann der Client das Zertifikat nicht verifizieren und gibt einen Client-SSL-Handshake-Fehler zurück. Die Fehlermeldung variiert je nach Clienttyp. Mit dem Utility OpenSSL können Sie die Tiefe prüfen, in der die Validierung nicht erfolgreich verläuft:

$ openssl verify -verbose -CAfile root-cert.pem intermediate-cert.pem
error 20 at 0 depth lookup: unable to get local issuer certificate

Um diese Verifizierungsfehler zu beheben, stellen Sie sicher, dass das Clientzertifikat und das Certificate Authority-Zertifikat übereinstimmen, und stellen Sie sicher, dass die Zertifikate in der richtigen Reihenfolge enthalten sind.