<![CDATA[Двойной активный WSA с балансировкой нагрузки F5 LTM.]]>Привет всем, Мы хотим настроить два устройства WSA Web Security Appliance за балансировщиком нагрузки F5 LTM. (См. приложение) Балансировщик нагрузки F5 не будет обрабатывать SSL-сертификат, поскольку он прослушивает порт 8080. Этот трафик будет отправлен на устройства WSA. Как нам обрабатывать SSL-проверку? Какие сертификаты следует использовать? Следует ли настроить один сертификат (с общим именем и двумя SAN для каждого имени устройства) и добавить этот сертификат к каждому WSA? Ваше мнение? Rockmaster

]]>https://sla247.ru/forum/topic/2190/двойной-активный-wsa-с-балансировкой-нагрузки-f5-ltmRSS for NodeFri, 15 May 2026 03:17:21 GMTFri, 27 Feb 2026 23:43:07 GMT60<![CDATA[Reply to Двойной активный WSA с балансировкой нагрузки F5 LTM. on Fri, 27 Feb 2026 23:43:10 GMT]]>Насколько я знаю, нет... Имейте в виду, что на WSA может быть 3 сертификата... 1. Сертификат интерфейса управления, который является стандартным сертификатом веб-сервера и может иметь SAN в соответствии с требованиями. (мы используем один для управления на ESA, WSA, SMA и бета-версиях) 2. Сертификат прокси, используемый при использовании зашифрованных учетных данных, настроенный в разделе «Сеть/Аутентификация», когда вы устанавливаете флажок... IIRC должен соответствовать имени NetBios. 3. Сертификат HTTPS-прокси, который является сертификатом ПОДПИСИ, используемый для выдачи сертификатов для каждого веб-сайта, на котором вы выполняете дешифрование... WSA делает это на лету. Этот сертификат можно легко получить из двух мест: WSA может сгенерировать его, а затем вы развернете его на своих рабочих станциях в качестве доверенного корня, или из вашего собственного внутреннего ЦС, где вы выдаете новый «сертификат выдающего ЦС» и помещаете его на WSA (предположительно, ваши рабочие станции уже доверяют вашему корневому ЦС). Вы не можете просто купить веб-сертификат для этого. Надеюсь, это поможет! Кен

]]>https://sla247.ru/forum/post/15608https://sla247.ru/forum/post/15608Fri, 27 Feb 2026 23:43:10 GMT<![CDATA[Reply to Двойной активный WSA с балансировкой нагрузки F5 LTM. on Fri, 27 Feb 2026 23:43:09 GMT]]>Привет, Кен, Спасибо за информацию. Должен ли сертификат на каждом устройстве указывать на CN proxy.xyz.com и SAN, содержащие как PXY01, так и PXY02? С уважением Rockmaster

]]>https://sla247.ru/forum/post/15607https://sla247.ru/forum/post/15607Fri, 27 Feb 2026 23:43:09 GMT<![CDATA[Reply to Двойной активный WSA с балансировкой нагрузки F5 LTM. on Fri, 27 Feb 2026 23:43:08 GMT]]>Я предполагаю, что вы используете явную переадресацию и вам необходимо сбалансировать нагрузку, а также обеспечить отказоустойчивость... Потому что, если один WSA может это сделать, вы можете использовать встроенные возможности отказоустойчивости. Если вы используете F5, сделайте его прозрачным, он не обрабатывает ничего, кроме того, какой WSA получает конкретный поток. Вам необходимо включить сохранение сеанса. WSA нуждаются в собственном сертификате... для этого мы выдаем промежуточный сертификат CA, подписанный нашим внутренним CA, потому что именно этим и занимается WSA... выдачей сертификатов для веб-сайтов, которые вы расшифровываете для внутреннего соединения, на лету.

]]>https://sla247.ru/forum/post/15606https://sla247.ru/forum/post/15606Fri, 27 Feb 2026 23:43:08 GMT