Сертификаты SSL или промежуточное звено для демилитаризованной зоны

Если я правильно понял вопрос, то кажется, что балансировщик нагрузки опережает другие серверы. В этом случае клиент откроет SSL-соединение с сервером, и в рамках SSL-пожатия компенсатор нагрузки должен будет вернуть свой сертификат и промежуточный сертификат сертификатов ЦС (если в иерархии есть несколько сертификатов для корневого ЦС) клиенту (как часть сообщения CERTIFICATE), чтобы клиент мог проверить/проверить сертификат компенсатора нагрузки и принять решение о том, доверять ему или не доверять. Он будет доверен клиенту, и SSL рукопожатие продолжится, если иерархия (цепочка сертификатов) сертификата балансировщика нагрузки на промежуточный сертификат к сертификату корневого ЦС будет подтверждена, так как клиент доверяет сертификату корневого ЦС. Краткое описание SSL: смотрите TLS wiki или, возможно, этот технический документ: http://www.symantec.com/content/en/us/enterprise/white_papers/b-wp_ecc.pdf [см. раздел SSL]

Если предположить, что ssl-сертификат и промежуточный сертификат являются отдельными элементами в конфигурации балансировщика нагрузки, вам всегда нужно будет использовать элемент конфигурации ssl-сертификата независимо от того, используете ли вы самоподписанный сертификат или сертификат, подписанный ЦС. Если вы используете сертификат, подписанный CA, CA предоставит вам промежуточные сертификаты, которые вы добавите в элемент конфигурации промежуточного сертификата