Problem: Die Box akzeptiert das Zertifikat nicht. Das Problem lag an der extranet.crt Datei. Lösung: Die SA will ein Certificate im .pem (.cer) Format haben, geliefert wurde aber .p7b (oder pkcs7) . Mit diesem Befehl kann das Zertifikat konvertiert werden. openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer https://www.sslshopper.com/ssl-converter.html
Frage: „….muss man für jeden Webserver, der genutzt wird, ein Zertifikat benötigt wird oder es genügt ein Zertifikat auf dem Loadbalancer aufzuspielen…“ Antwort: Üblicherweise setzt man ein Zertifikat auf dem Loadbalancer ein und spricht dann vom Loadbalancer in das Web-Server-Backend HTTP. Man muss also nicht n-fach signierte Zertifikate für alle Web Server in der Farm beantragen. Bei einigen Kunden aus dem Finanz- und Bankenumfeld hat sich eingebürgert, die Backend Verbindung zwischen Load Balancer und Webserver ebenfalls per HTTPS zu betreiben. Hier ist aber der Vorgang der Verschlüsselung wichtig und nicht ein ordentlicher Zertifizierungspfad oder eine Vertrauensstellung. Auf den Webservern reicht dann in diesem Fall auch ein self signed Zertifikat, weil der eigentliche „öffentliche“ SSL Handshake mit dem Client Browser in …