服务器身份验证
由于思杰ADC设备进行SSL卸载和加速代表Web服务器的,该设备通常不进行身份验证的Web服务器证书。但是,您可以在需要端到端SSL加密的部署中验证服务器。
在这种情况下,设备成为SSL客户机并与SSL服务器执行安全事务。验证绑定到SSL服务的CA是否签署了服务器证书,并检查服务器证书的有效性。
要对服务器进行身份验证,请启用服务器身份验证,并将签署服务器证书的CA的证书绑定到ADC设备上的SSL服务。绑定证书时,必须将绑定指定为CA选项。
启用(或禁用)服务器证书认证
通过命令行和图形化界面可以开启和关闭服务器证书认证。
通过命令行方式开启(关闭)服务器证书认证
在命令提示符下,输入以下命令启用服务器证书认证并验证配置:
set ssl service -serverAuth (ENABLED | DISABLED) show ssl service 例子:
设置ssl服务ssl-service-1 -serverAuth ENABLED ssl-service-1后端ssl服务的高级ssl配置ssl-service-1: ' DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SSLv2: DISABLED SSLv3: DISABLED TLSv1:ENABLED 1)密码名:ALL描述:预定义密码别名完成使用GUI启用(或禁用)服务器证书认证
- 导航到流量管理>负载均衡>业务,打开SSL服务。
- 在“SSL参数”部分中,选择“启用服务器身份验证”,并指定公共名称。
- 在“高级设置”中选择“证书”,将CA证书绑定到服务。
使用CLI命令将CA证书与服务绑定
在命令提示符下,输入以下命令将CA证书绑定到服务并验证配置:
bind ssl service -certkeyName -CA show ssl service 例子:
绑定ssl服务ssl-service-1 -certkeyName samplecertkey -CA ssl-service-1后端ssl服务的高级ssl配置ssl-service-1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SSLv2: DISABLED SSLv3: DISABLED TLSv1:ENABLED 1) CertKey Name: samplecertkey CA Certificate CRLCheck:可选1)Cipher Name: ALL Description:预定义Cipher Alias Done 配置服务器证书认证的通用名称
在启用服务器身份验证的端到端加密中,可以在SSL服务或服务组的配置中包含公共名称。在SSL握手期间,您指定的名称将与服务器证书中的通用名称进行比较。如果两个名称匹配,则握手成功。如果公共名称不匹配,则将为服务或服务组指定的公共名称与证书中的主题替代名称(SAN)字段中的值进行比较。如果匹配其中一个值,则握手成功。例如,如果防火墙后有两台服务器,其中一台服务器欺骗了另一台服务器的身份,则此配置特别有用。如果没有检查公共名称,如果IP地址匹配,则接受任一服务器提供的证书。
注意:只比较SAN字段中的域名、URL和email ID DNS表项。
该任务指导管理员通过CLI配置SSL服务/服务组的common-name校验
在命令提示符下,键入以下命令以指定具有公共名称验证的服务器身份验证并验证配置:
要在服务中配置通用名称,输入:
设置SSL服务<服务> -commonName <字符串> -serverAuth启用SSL节目服务<服务> <! - NeedCopy - >配置服务组中的公共名称,输入:
set ssl serviceGroup-commonName -serverAuth ENABLED show ssl serviceGroup
例子:
> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED show ssl service svc后端ssl服务的高级ssl配置svc1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED Common Name: www.xyz.com ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED SSLv2: DISABLED SSLv3:ENABLED TLSv1: ENABLED 1) CertKey Name: cacert CA Certificate OCSPCheck:可选1)Cipher Name: ALL Description:预定义Cipher Alias Done 使用GUI配置SSL服务或服务组的通用名验证
- 导航到流量管理>负载均衡>业务或导航到流量管理>负载均衡>服务组,并打开服务或服务组。
- 在“SSL参数”部分中,选择“启用服务器身份验证”,并指定公共名称。
服务器身份验证
复制!
失败了!