Um virtual server do BIG-IP faz algo que um roteador comum não faz: termina uma conexão TLS, olha o conteúdo em claro e abre uma nova conexão TLS para o backend. Dois tipos de perfil distintos governam as duas metades dessa imagem, e eles desempenham papéis opostos.

Client SSL: o BIG-IP é o servidor

Um perfil client-ssl está voltado para o cliente. Com ele anexado, o BIG-IP age como servidor TLS: apresenta um certificado, conclui o handshake que o navegador iniciou e descriptografa o tráfego do cliente. É o perfil que guarda o seu certificado público e a chave privada. Tudo o que o cliente vê do TLS do seu site — o certificado, a versão negociada, a cifra — vem daqui.

Server SSL: o BIG-IP é o cliente

Um perfil server-ssl está voltado para o membro do pool. Com ele anexado, o BIG-IP age como cliente TLS em direção ao backend: abre uma nova conexão TLS para o servidor e, se configurado, valida o certificado do servidor contra uma CA confiável. O backend enxerga o BIG-IP como mais um cliente TLS.

Três formatos comuns

Esses dois perfis se combinam nos padrões que você realmente implanta:

  • SSL offload — apenas um perfil client-ssl. O BIG-IP termina o TLS do cliente e fala texto claro com o pool. Mais simples e rápido, mas a perna do servidor fica sem criptografia, então só é seguro em um segmento interno confiável.
  • SSL bridging (recriptografia)ambos os perfis, client-ssl e server-ssl. O BIG-IP descriptografa o cliente, pode inspecionar ou modificar o tráfego e então recriptografa para o pool. É o que você precisa quando política ou conformidade exigem criptografia de ponta a ponta sem abrir mão do processamento de camada 7.
  • SSL pass-throughnenhum perfil. O BIG-IP encaminha os bytes criptografados intactos. Sem certificado, sem inspeção, sem recursos de camada 7.

Por que a distinção importa

Um número surpreendente de chamados de TLS se resume a anexar o perfil errado no lado errado, ou esperar que o backend seja validado quando só há um perfil client-ssl. A validação do certificado do servidor backend é assunto de server-ssl (peer-cert-mode mais ca-file); a validação de um certificado de cliente é assunto de client-ssl. Ao ler um perfil, a primeira pergunta a resolver é sempre: qual lado este perfil controla?

Cole qualquer um dos perfis no explicador de perfis SSL e ele dirá o papel dele, as versões de protocolo que permite e o que cada configuração faz.