Sécurisez le traffic à charge équilibrée en utilisant SSL
La function de déchargement SSL Citrix ADC améliore de manière透明的性能des站点Web qui effective des transactions SSL。En déchargeant les tâches de chiffree et de déchiffrement SSL gourmandes En CPU du server Web本地设备,le déchargement SSL garantit la livraison sécurisée des applications Web sans pénalisation des performance lorsque le server traite les données SSL。Une fois le traffic SSL déchiffré, il peut être traité par tous les服务标准。Le protocol SSL functional de manière transparente avec différents types de données HTTP et TCP et fournit un canal sécurisé pour les transactions utilisant ces données。
把配置器SSL倒进去,我要激活。Ensuite, vous configururez les services HTTP ou TCP et un server virtuel SSL sur l’appliance, puis liez les services au server virtuel。Vous devez également ajouter une paraire de clés de certificate et la lier au server virtuel SSL。i vous utilisez des servers Outlook Web Access, vous devez créer une action pour active la prise en charge SSL et une stratégie pour appliquer l 'action。服务器虚拟SSL拦截流量chiffré入口et le décrypte à l 'aide d 'un algorithm négocié。Le server virtuel SSL transmet ensuite les données déchiffrées aux autres entités de l 'appliance pour un traitement approprié。
请在déchargement上提供信息SSL, consultez Déchargement和accélérationSSL。
Séquence de tâches de configuration SSL
把配置器SSL倒进去,我要激活。Vous devez ensuite créer un server虚拟SSL et des services HTTP ou TCP sur l 'appliance Citrix ADC。Enfin, vous devez lier un certificat SSL valide et les services configurés au server虚拟SSL。
服务器虚拟SSL拦截流量chiffré入口et le décrypte à l 'aide d 'un algorithm négocié。Le server virtuel SSL transfère ensuite les données déchiffrées aux autres entités de l 'appliance Citrix ADC pour un traitement approprié。
L '组织结构,适配蒙特拉séquence des tâches de配置d 'une配置de déchargement SSL de base。
图1。Séquence de tâches pour configurer le déchargement SSL
Activer le déchargement SSL
开始使用fonctionnalité SSL。您的配置器entités SSL的设备没有激活器fonctionnalité SSL,您的功能就不一样了activé SSL。
激活SSL à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez les commands suivantes pour activer le déchargement SSL et vérifier la configuration:
- enable ns feature SSL - show ns feature 为例:
> enable ns feature ssl Done > show ns feature feature Acronym Status ------- ------- ------ 1) Web Logging WL ON 2) operprotection SP OFF 3) Load Balancing LB ON…9) SSL卸载SSL ON 10)全局服务器负载均衡GSLB ON完成> < !——NeedCopy >activerssl à l 'aide de l 'interface graphhique
Procédez comme套装:
- Dans le volet de navigation, développez和, puis cliquez sur产品的.
- Dans le volet d ' information模式等fonctionnalites,双击修饰语les fonctionnalités de base.
- Activez la案例à cocherDechargement SSL, puis cliquez sur好吧.
- Dans la ou les函数/ Desactiver活跃吗?,双击是的.
Créer des服务HTTP
Un service de la solution matérielle-logicielle représente une application sur Un server。Une fois configurés, les services sont désactivés jusqu ' à ce que la solution matérielle-logicielle puisse atteindre le server sur le réseau et en monitor l ' état。Cette rubrique décrit les étapes de création d 'un服务HTTP。
备注:Pour le traffic TCP, effectuez les procédures suivantes, mais créez des services TCP à la place des services HTTP。
Ajouter un service HTTP à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez les commands suivantes pour ajouter un service HTTP et vérifier la configuration:
- add service ( | ) - show service 为例:
>添加服务SVC_HTTP1 10.102.29.18 HTTP 80做>显示服务SVC_HTTP1 SVC_HTTP1 (10.102.29.18:80) - HTTP状态:去年状态改变是在2009年7月15日06:13:05结婚以来最后的状态变化:0天,00:00:15.350服务器名称:10.102.29.18服务器ID: 0监控阈值:0马克斯康涅狄格州:0马克斯点播:0最大带宽:0来使用源IP:没有客户Keepalive (CKA):没有访问服务:没有TCP缓冲(TCPB):没有HTTP压缩(CMP):是的闲置超时:客户:180秒服务器:360秒Client IP: DISABLED Cacheable: NO SC: OFF SP: OFF Down state flush: ENABLED 1) Monitor Name: TCP -default state: UP Weight: 1 Probes: 4 Failed [Total: 0 Current: 0] Last response: Success - TCP syn+ack received。响应时间:N/A完成Ajouter un service HTTP à l 'aide de l 'interface graphhique
Procédez comme套装:
- Accedez一Gestion du traffic > Déchargement SSL >业务.
- 我的信息,我的朋友Ajouter.
- Dans la boîte de对话认为联合国服务, tapez le nom du service, l ' address IP et le port(参数示例,SVC_HTTP1, 10.102.29.18 et 80)。
- 在listeProtocole, sélectionnez le类型的服务(例如,HTTP)。
- 双击苏尔克里尔, puis cliquez sur关闭.Le service HTTP查询地址configuré apparaît dans la page服务。
- Vérifiez que les paramètres que vous avez configurés sont correct configurés en sélectionnant le service et en affichant la section Détails en bas du volet。
Ajouter unserver虚拟SSL
Dans une配置de déchargement SSL de base, le server virtuel SSL拦截le流量chiffré, le déchiffre et特使les messages en texte clair aux services liés au server virtuel。Le déchargement du traitement SSL美食家的家当,家当,家当,还有大的需求。
Ajouter un server virtuel SSL à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez les commands suivantes pour créer un server virtuel SSL et vérifier la configuration:
- add lb vserver [ ] - show lb vserver 注意:倾garantir la sécurité des connexions, vous devez lier un certificate at SSL valid au server virtuel SSL avant de l ' active。
为例:
> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443 Done > show lb vserver vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) -SSL Type: ADDRESS State: DOWN[Certkey not bound] Last State change was at Tue Jun 16 06:33:08 2009 (+176 ms)上一次状态变化时间:0天,00:03:44.120生效状态:DOWN Client Idle Timeout: 180 sec DOWN State flush: ENABLED Disable Primary vserver On DOWN: DISABLED否绑定服务:0 (Total) 0 (Active)配置方法:LEASTCONNECTION模式:IP Persistence: NONE Vserver IP和端口插入:OFF Push: DISABLED Push Vserver: Push Multi Clients: NO Push Label Rule: Done Ajouter un server virtuel SSL à l 'aide de l 'interface graphhique
Procédez comme套装:
- Accedez一Gestion du traffic > Déchargement SSL > servers virtuels.
- 我的信息,我的朋友Ajouter.
- Dans la boîte de对话Créer un server virtuel (déchargement SSL)“我的名字是服务器的虚拟,地址是IP和端口。”
- 在listeProtocole, sélectionnez le类型de server virtuel, par示例SSL。
- 双击苏尔克里尔, puis cliquez sur关闭.
- Vérifiez que les paramètres que vous avez configurés sonsoncorrectte configurés en sélectionnant le server virtuel et en affichant la section Détails en bas du volet。优秀的服务人员marqué comme étant en panne car auauune paraire de clés de certificate et de services n ' sont liés。
注意:倾garantir la sécurité des connexions, vous devez lier un certificate at SSL valid au server virtuel SSL avant de l ' active。
Liez les services au server虚拟SSL
Après déchiffré les données entrantes, le server virtual SSL transfère les données aux services que vous avez liés au server virtual。
Le transfer de données entre la solution matérielle-logicielle et les servers peut être chiffré ou en texte clair。Si le transfer de données entre l 'appliance et les servers est chiffré, l 'intégralité de la transaction est sécurisée de bout en bout。Pour plus d ' information sur la configuration du système Pour une sécurité de bout en bout, consultezDéchargement et accélération SSL.
Lier un service à un server virtuel à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez les commands suivantes pour lier un service au server virtuel SSL et vérifier la configuration:
- bind lb vserver - show lb vserver 为例:
> bind lb vserver vserver-SSL-1 SVC_HTTP1 Done > show lb vserver vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) -SSL Type: ADDRESS State: DOWN[Certkey not bound] Last State change was at Tue Jun 16 06:33:08 2009 (+174 ms)上一次状态变化时间:0天,00:31:53.70 Effective State: DOWN Client Idle Timeout: 180 sec DOWN State flush: ENABLED Disable主vserver On DOWN: DISABLED否绑定服务:1 (Total) 0 (Active)配置方法:LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP和端口插入:OFF Push: DISABLED Push Vserver: Push Multi Clients: NO Push Label Rule: 1) SVC_HTTP1 (10.102.29.18: 80) - HTTP State: DOWN Weight: 1 Done 联络d 'un service à un server virtuel à l 'aide de l 'interface graphique
- Accedez一Gestion du traffic > Déchargement SSL > servers virtuels.
- Dans le volet d ' information, sélectionnez un server virtuel, puis cliquez sur打开.
- 苏l 'onglet服务,丹斯·拉科隆Actif“关于服务的各种案件,我们的服务是真实的sélectionné。”
- 双击苏尔好吧.
- Vérifiez我们的服务中心liés我们的服务中心Détails我们的服务中心incrémenté我们的服务中心liés我们的服务中心。
Ajouter une paire de clés de certificate
uncertificat SSL fait party intégrante du process sus d ' échange de clés SSL et de chiffment /déchiffrement。Le certificat est utilisé lors d 'une connexion SSL pour établir l 'identité du server SSL。使用证书SSL有效存在方式possédez使用Citrix ADC,使用证书SSL有效存在方式créer使用证书SSL有效存在方式。L ' appliance prend en charge les certificate RSA jusqu ' à 4096位。
ECDSA安全证书(ECDSA avec seulement Les courbes suivantes sont pris en charge)
- pri256v1 (P_256 sur ADC)
- secp384r1 (P_384 sur l 'ADC)
- secp521r1 (P_521 sur ADC;全权负责VPX独一无二)
- secp224r1 (P_224 sur ADC;全权负责VPX独一无二)
标记:Citrix vous推荐使用SSL有效证书été émis par une autorité de认证approuvée。Les certificates non valid et Les certificates auto-créés ne sont pas compatibles avec tous Les clients SSL。
先驱者证书获得者être utilisé pour le traitement SSL, vous devez l 'associer à la clé通讯员。La paraire de clés de certificate at est ensuite liée au server virtuel et utilisée pour le traitement SSL。
Ajouter une paiere de clés de certificate at à l 'aide de l 'interface de ligne de command
标记:在la création d 'une paire de clés de certificateECDSA, voir Créer une paire de clés de certificate at ECDSA.
À l 'invite de commands, tapez les commands suivantes pour créer une paire de clés de certificat et vérifier la configuration:
- add ssl certKey -cert [-key ] - show sslcertkey 为例:
>添加ssl certKey certKey - ssl -1 -cert ns-root。cert关键ns-root。key Done > show sslcertkey CertKey-SSL-1名称:CertKey-SSL-1状态:有效,过期天数:4811版本:3序列号:00签名算法:md5WithRSAEncryption发行者:C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=de fault有效期Not Before: Oct 6 06:52:07 2006 GMT Not After: Aug 17 21:26:47 2022 GMT主题:C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault公钥算法:rsaEncryption公钥大小:1024 Done Ajouter une paiaire de clés de certificate at à l 'aide de l 'interface graphique
Procédez comme套装:
- Accedez一Gestion du traffic > SSL >证书.
- 我的信息,我的朋友Ajouter.
- Dans la boîte de对话安装程序le证书法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语法语
- 苏细节, dans Nom du fichier de certificate, cliquez surParcourir(设备)倒localiser le certificat。Le certificat et la clé sont tous deux stockés dans Le file ssier /nsconfig/ssl/ de l 'appliance。在présent上输入système local, sélectionnez local。
- Sélectionnez我们的证书是如何使用的,是如何使用的选择.
- Dans Nom du fichier de clé privée, cliquez surParcourir(设备)倒localiser le fichier de clé privée。倒利用器une clé privée présente sur le système local, sélectionnez local。
- Sélectionnez la clé我知道你是如何利用我们的选择.倒雪片la clé utilisée丹斯la paraire de clés de certificat, tapez le mot de passe à利用者倒雪片dans la zone de texte mot de passe。
- 双击苏尔安装程序.
- 双cliquez sur la paris de clés de certificate et, danans la fenêtre Détails du certificate at, vérifiez que les paramètres ont été correctement configurés et enregistrés。
联络d 'une paraire de clés de certificate at SSL au server virtuel
Après associé联合国证书SSL à la clé通讯员,代理巴黎clés de证书服务器虚拟SSL afin qu 'elle puisse être utilisée pour le traitement SSL。Les sessions sécurisées nécessitent l ' établissement d ' une connection entre l ' ordinateur客户端和服务器虚拟SSL sur l ' appliance。Le traitement SSL est ensuite effectué基于流量入口基于服务器虚拟。服务器服务器虚拟SSL认证conséquent,提供有效的服务器虚拟SSL认证。
网址:clés de certificat SSL à un server virtual à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez les commands suivantes pour lier une paire de clés de certificat SSL à un server virtuel et vérifier la configuration:
- bind ssl vserver - certkeyname - show ssl vserver 为例:
> bind ssl vserver vserver - ssl -1 -certkeyName CertKey- ssl -1 Done > show ssl vserver vserver - ssl -1高级ssl配置vserver vserver - ssl -1: DH: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120秒Cipher Redirect: ENABLED SSLv2 Redirect: ENABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) CertKey名称:CertKey- ssl -1服务器证书1)Cipher名称:默认说明:预定义密码别名完成Liez une paraire de clés de certificat SSL à un server virtual à l 'aide de l 'interface graphique
Procédez comme套装:
- Accedez一Gestion du traffic > Déchargement SSL > servers virtuels.
- Sélectionnez le server virtuel auquel vous souhaitez lier la parire de clés de certificate, parsample, vServer-SSL-1, puis cliquez sur Ouvrir。
- Dans la boîte de对话配置服务器虚拟机(déchargement SSL)苏l 'onglet产品的SSL,苏能用的, sélectionnez la paire de clés de certificate que vous souhaitez lier au serur virtuel。双击苏尔套间Ajouter.
- 双击苏尔好吧.
- Vérifiez巴黎之城clés巴黎之城sélectionnée apparaît巴黎之城Configuré。
配置la prise en charge Outlook Web
Si vous utilisez des servers Outlook Web Access (OWA) sur votre appliance Citrix ADC, vous devesururer l 'appliance pour insérer un champ d 'en-tête spécial, FRONT-END-HTTPS: ON, dans les requêtes HTTP dirigées vers les servers OWA, afin que les servers génèrent des liens URLhttps://非盟代替德http://.
标记:Vous pouvez active la prise en charge d 'OWA pour les servers et services virtuels SSL basés根据HTTP的独特性。Vous ne pouvez pas l 'appliquer aux servers et services virtuels SSL basés sur TCP。
倒配置la prise en charge d 'OWA, procédez comme suit:
- Créez une action SSL倾倒active la prise en charge d 'OWA。
- Créez une stratégie SSL。
- Liez la stratégie au server virtuel SSL。
Créer une action SSL倾倒active la prise en charge d 'OWA
outlook Web Access (OWA), créer une action SSL。Les actions SSL sont liées aux stratégies SSL et sont déclenchées lorsque Les données entrantes通讯员à la règle spécifiée par la stratégie。
Créer une action SSL pour active la prise en charge d 'OWA à l 'aide de l 'interface de ligne de command
À l 'invite de command, tapez les command suivantes pour créer une action SSL afin d 'activer la prise en charge d 'OWA et de vérifier la configuration:
- add ssl action - owasupport ENABLED - show ssl action 为例:
> add ssl action action - ssl -OWA -OWASupport enabled Done > show ssl action action action - ssl -OWA Name: action - ssl -OWA Data insert action: OWASupport: enabled Done Créer une action SSL pour active la prise en charge d 'OWA à l 'aide de l 'interface graphique
Procédez comme套装:
- Accedez一Gestion du traffic > SSL > Stratégies.
- Dans le volet d ' information, sous l 'onglet行动,双击Ajouter.
- Dans la boîte de对话Créer une动作SSL, dans la zone de texte Nom, tapez Action-SSL-OWA。
- Sous Outlook Web Access, sélectionnez活跃的.
- 双击苏尔克里尔, puis cliquez sur关闭.
- Vérifiez que Action-SSL-OWA apparaît dans la page行动SSL.
Créer des stratégies SSL
Les stratégies SSL sont créées à l 'aide de l 'infrastructure de stratégies。查克stratégie SSL est liée à une action SSL, et l 'action est exécutée lorsque le traffic entrant对应à la règle configurée dans la stratégie。
Créer une stratégie SSL à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez les commands suivantes pour configurer une stratégie SSL et vérifier la configuration:
- add ssl policy -rule - reqaction - show ssl policy 为例:
> add ssl Policy- ssl -1 -rule ns_true -reqaction Action- ssl - owa Done > show ssl Policy- ssl -1名称:Policy- ssl -1规则:ns_true动作:Action- ssl - owa命中:0策略与以下实体绑定1)PRIORITY: 0 Done Créer une stratégie SSL à l 'aide de l 'interface graphique
Procédez comme套装:
- Accedez一Gestion du traffic > SSL > Stratégies.
- 我的信息,我的朋友Ajouter.
- Dans la boîte de对话Créer une stratégie SSL, dans la zone de texte Nom, tapez le Nom de la stratégie SSL(最好的例子,Policy-SSL-1)。
- 在要求者une action, sélectionnez l 'action SSL configurée que vous souhaitez associer à cette stratégie(标准示例,action -SSL- owa)。L ' expression générale ns_true applique la stratégie à tout le traffic d ' établissement de liaison SSL réussi。Toutefois, pour filter des réponses spécifiques, vous pouvez créer des stratégies avec un niveau de détail supérieur。倒加上d '信息根据配置的表达式stratégie granulaires,咨询动作et stratégies SSL.
- 在表达式nommees,选择我的表达générale intégrée ns_true et cliquez surAjouter一个表达式.L 'expression ns_true apparaît désormais dans la zone de texte表达式。
- 双击苏尔克里尔, puis cliquez sur关闭.
- Vérifiez que la stratégie est correctement configurée en sélectionnant la stratégie et en affichant la section Détails en bas du volet。
Liez la stratégie SSL au server虚拟SSL
Après avoir configuré une stratégie SSL pour Outlook Web Access, liez la stratégie à un server virtuel qui interceptera le traffic Outlook入口。Si les données entrantes通讯员à l 'une des règles configurées dans la stratégie SSL, la stratégie est déclenchée et l 'action qui lui est associée est exécutée。
Liez une stratégie SSL à un server virtuel SSL à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez les commands suivantes pour lier une stratégie SSL à un server virtuel SSL et vérifier la configuration:
- bind ssl vserver - policyname - show ssl vserver 为例:
> bind ssl vserver vserver - ssl -1 -policyName Policy- ssl -1 Done > show ssl vserver vserver - ssl -1高级vserver vserver - ssl -1 ssl配置:DH: DISABLED Ephemeral RSA: ENABLED刷新次数:0会话重用:ENABLED超时时间:120秒Cipher Redirect: ENABLED SSLv2 Redirect: ENABLED明文端口:0客户端认证:DISABLED ssl Redirect: DISABLED非FIPS Cipher: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) CertKey名称:CertKey- ssl -1服务器证书1)策略名称:Policy-SSL-1优先级:0 1)加密名称:DEFAULT描述:预定义加密别名完成Liez une stratégie SSL à un server virtuel SSL à l 'aide de l 'interface graphique
Procédez comme套装:
- Accedez一Gestion du traffic > Déchargement SSL > servers virtuels.
- Dans le volet d’information, sélectionnez le server virtuel(一个例子,vServer-SSL-1), puis cliquez sur打开.
- Dans la boîte de对话配置服务器虚拟机(déchargement SSL),双击Inserer一个策略sélectionnez la stratégie que vous souhaitez lier au server virtuel SSL。你是我们的朋友également我们的朋友Priorité我们的朋友是我们的新朋友priorité。
- 双击苏尔好吧.
在cet(中央东部东京)的文章
- Séquence de tâches de configuration SSL
- Activer le déchargement SSL
- Créer des服务HTTP
- Ajouter unserver虚拟SSL
- Liez les services au server虚拟SSL
- Ajouter une paire de clés de certificate
- 联络d 'une paraire de clés de certificate at SSL au server virtuel
- 配置la prise en charge Outlook Web
- Créer une action SSL倾倒active la prise en charge d 'OWA
- Créer des stratégies SSL
- Liez la stratégie SSL au server虚拟SSL