Sichere Lastenausgleichung durch Verwendung von SSL

Die Citrix ADC SSL-Offload Funktion verbessert transparent die Leistung von Websites, die SSL-Transaktionen durchführen. Durch das Verschieben von CPU-intensiven SSL-Verschlüsselungs- und Entschlüsselungsaufgaben vom lokalen Webserver auf die Appliance gewährleistet SSL-Offload die sichere Bereitstellung von Webanwendungen ohne Leistungseinbußen, die bei der Verarbeitung der SSL-Daten durch den Server entstehen. Sobald der SSL-Datenverkehr entschlüsselt ist, kann er von allen Standarddiensten verarbeitet werden. Das SSL-Protokoll arbeitet nahtlos mit verschiedenen Arten von HTTP- und TCP-Daten und bietet einen sicheren Kanal für Transaktionen, die solche Daten verwenden.

Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Anschließend konfigurieren Sie HTTP- oder TCP-Dienste und einen virtuellen SSL-Server auf der Appliance und binden die Dienste an den virtuellen Server. Sie müssen auch ein Zertifikatschlüsselpaar hinzufügen und es an den virtuellen SSL-Server binden. Wenn Sie Outlook Web Access-Server verwenden, müssen Sie eine Aktion zum Aktivieren der SSL-Unterstützung und eine Richtlinie zum Anwenden der Aktion erstellen. Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mithilfe eines ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet dann die entschlüsselten Daten zur entsprechenden Verarbeitung an die anderen Entitäten auf der Appliance weiter.

Ausführliche Informationen zum SSL-Abladen finden Sie unterSSL-Offload und Beschleunigung.

SSL-Konfigurations-Tasksequenz

Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Anschließend müssen Sie einen virtuellen SSL-Server und HTTP- oder TCP-Dienste auf der Citrix ADC Appliance erstellen. Schließlich müssen Sie ein gültiges SSL-Zertifikat und die konfigurierten Dienste an den virtuellen SSL-Server binden.

Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mit einem ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet dann die entschlüsselten Daten zur entsprechenden Verarbeitung an die anderen Entitäten auf der Citrix ADC Appliance weiter.

Das folgende Flussdiagramm zeigt die Reihenfolge der Aufgaben zum Konfigurieren einer grundlegenden SSL-Offload-Setup.

Abbildung 1. Abfolge von Tasks zum Konfigurieren von SSL-Offload

Bild

SSL-Offload aktivieren

Sie sollten die SSL-Funktion aktivieren, bevor Sie SSL-Offload konfigurieren. Sie können SSL-basierte Entitäten auf der Appliance konfigurieren, ohne die SSL-Funktion zu aktivieren. Diese funktionieren jedoch erst, wenn Sie SSL aktivieren.

SSL über CLI aktivieren

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um SSL-Offload zu aktivieren und die Konfiguration zu überprüfen:

  • enable ns feature SSL
  • show ns feature
> enable ns feature ssl




Done


> show ns feature


Feature Acronym Status


------- ------- ------


1) Web Logging WL ON


2) SurgeProtection SP OFF


3) Load Balancing LB ON . . .


 9) SSL Offloading SSL ON


10) Global Server Load Balancing GSLB ON . .


Done >

Aktivieren von SSL mithilfe der GUI

Befolgen Sie diese Schritte:

  1. Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Einstellungen.
  2. Klicken Sie im Detailbereich unter Modi und Features auf Grundfunktionen ändern.
  3. Aktivieren Sie das Kontrollkästchen SSL-Offload, und klicken Sie dann auf OK.
  4. In der aktivieren/deaktivieren Funktion (en)? auf Ja.

HTTP-Dienste erstellen

Ein Dienst auf der Appliance stellt eine Anwendung auf einem Server dar. Nach der Konfiguration befinden sich die Dienste im deaktivierten Zustand, bis die Appliance den Server im Netzwerk erreichen und den Status überwachen kann. In diesem Thema werden die Schritte zum Erstellen eines HTTP-Dienstes behandelt.

Hinweis: Führen Sie für TCP-Datenverkehr die Prozeduren in diesem und den folgenden Themen durch, erstellen Sie jedoch TCP-Dienste anstelle von HTTP-Diensten.

Hinzufügen eines HTTP-Dienstes mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen HTTP-Dienst hinzuzufügen und die Konfiguration zu überprüfen:

  • add service <name> (<IP> | <serverName>) <serviceType> <port>
  • Service anzeigen <name>

Beispiel:

> add service SVC_HTTP1 10.102.29.18 HTTP 80


 Done


> show service SVC_HTTP1


        SVC_HTTP1 (10.102.29.18:80) - HTTP


        State: UP


        Last state change was at Wed Jul 15 06:13:05 2009


        Time since last state change: 0 days, 00:00:15.350


        Server Name: 10.102.29.18


        Server ID : 0   Monitor Threshold : 0


        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits


        Use Source IP: NO


        Client Keepalive(CKA): NO


        Access Down Service: NO


        TCP Buffering(TCPB): NO


        HTTP Compression(CMP): YES


        Idle timeout: Client: 180 sec   Server: 360 sec


        Client IP: DISABLED


        Cacheable: NO


        SC: OFF


        SP: OFF


        Down state flush: ENABLED





1)      Monitor Name: tcp-default


                State: UP       Weight: 1


                Probes: 4       Failed [Total: 0 Current: 0]


                Last response: Success - TCP syn+ack received.


                Response Time: N/A


 Done



Hinzufügen eines HTTP-Dienstes mithilfe der GUI

Gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Services.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Dienst erstellen in die Textfelder Dienstname, Server und Port den Namen des Dienstes, die IP-Adresse und den Port ein (z. B. SVC_HTTP1, 10.102.29.18 und 80).
  4. Wählen Sie in der Liste Protokoll den Typ des Dienstes aus (z. B. HTTP).
  5. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen. Der konfigurierte HTTP-Dienst wird auf der Seite Dienste angezeigt.
  6. Überprüfen Sie, ob die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den Dienst auswählen und den Abschnitt Details am unteren Rand des Bereichs anzeigen.

Hinzufügen eines SSL-basierten virtuellen Servers

In einem einfachen SSL-Offload-Setup fängt der virtuelle SSL-Server verschlüsselten Datenverkehr ab, entschlüsselt ihn und sendet die Klartextnachrichten an die Dienste, die an den virtuellen Server gebunden sind. Durch das Verschieben der CPU-intensiven SSL-Verarbeitung an die Appliance können die Back-End-Server eine größere Anzahl von Anforderungen verarbeiten.

Hinzufügen eines SSL-basierten virtuellen Servers mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen SSL-basierten virtuellen Server zu erstellen und die Konfiguration zu überprüfen:

  • add lb vserver <name> <serviceType> [<IPAddress> <port>]
  • lb vserver anzeigen <name>

Achtung: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.

Beispiel:

> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443




  Done


  > show lb vserver vserver-SSL-1


  vserver-SSL-1 (10.102.29.50:443) - SSL Type: ADDRESS


  State: DOWN[Certkey not bound] Last state change was at Tue Jun 16 06:33:08 2009 (+176 ms)


  Time since last state change: 0 days, 00:03:44.120


  Effective State: DOWN Client Idle Timeout: 180 sec


  Down state flush: ENABLED


  Disable Primary Vserver On Down : DISABLED


  No. of Bound Services : 0 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP


  Persistence: NONE


  Vserver IP and Port insertion: OFF


  Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule: Done

Hinzufügen eines SSL-basierten virtuellen Servers mithilfe der GUI

Gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Virtuellen Server erstellen (SSL-Offload) in die Textfelder Name, IP-Adresse und Port den Namen des virtuellen Servers, die IP-Adresse und den Port ein (z. B. vServer-SSL-1, 10.102.29.50 und 443).
  4. Wählen Sie in der Liste Protokoll den Typ des virtuellen Servers aus, z. B. SSL.
  5. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
  6. Stellen Sie sicher, dass die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den virtuellen Server auswählen und den Abschnitt Details unten im Bereich anzeigen. Der virtuelle Server ist als DOWN gekennzeichnet, da ein Zertifikatschlüsselpaar und Dienste nicht an ihn gebunden sind.

Achtung: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.

Binden von Diensten an den virtuellen SSL-Server

Nach dem Entschlüsseln der eingehenden Daten leitet der virtuelle SSL-Server die Daten an die Dienste weiter, die Sie an den virtuellen Server gebunden haben.

Die Datenübertragung zwischen der Appliance und den Servern kann verschlüsselt oder in Klartext erfolgen. Wenn die Datenübertragung zwischen der Appliance und den Servern verschlüsselt ist, ist die gesamte Transaktion von Ende zu Ende sicher. Weitere Hinweise zum Konfigurieren des Systems für End-to-End-Sicherheit finden Sie unterSSL-Offload und Beschleunigung.

Binden eines Dienstes an einen virtuellen Server mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um den Dienst an den virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:

  • <name> <serviceName>bind lb vserver
  • lb vserver anzeigen <name>

Beispiel:

> bind lb vserver vserver-SSL-1 SVC_HTTP1




  Done


  > show lb vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) - SSL Type:


  ADDRESS State: DOWN[Certkey not bound]


  Last state change was at Tue Jun 16 06:33:08 2009 (+174 ms)


  Time since last state change: 0 days, 00:31:53.70


  Effective State: DOWN Client Idle


  Timeout: 180 sec


  Down state flush: ENABLED Disable Primary Vserver On Down :


  DISABLED No. of Bound Services : 1 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP and


  Port insertion: OFF Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule:





  1) SVC_HTTP1 (10.102.29.18: 80) - HTTP


  State: DOWN Weight: 1


  Done

Binden eines Dienstes an einen virtuellen Server mithilfe der GUI

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
  2. Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
  3. Aktivieren Sie auf der Registerkarte Dienste in der Spalte Aktiv die Kontrollkästchen neben den Diensten, die Sie an den ausgewählten virtuellen Server binden möchten.
  4. Klicken Sie auf OK.
  5. Stellen Sie sicher, dass der Leistungsindikator Anzahl gebundener Dienste im Abschnitt Details am unteren Rand des Bereichs um die Anzahl der Dienste erhöht wird, die Sie an den virtuellen Server gebunden haben.

Hinzufügen eines Zertifikatsschlüsselpaars

Ein SSL-Zertifikat ist ein integraler Bestandteil des SSL-Schlüsselaustausch- und Verschlüsselungs-/Entschlüsselungsprozesses. Das Zertifikat wird während des SSL-Handshake verwendet, um die Identität des SSL-Servers zu ermitteln. Sie können ein gültiges, vorhandenes SSL-Zertifikat verwenden, das Sie auf der Citrix ADC Appliance haben, oder Sie können ein eigenes SSL-Zertifikat erstellen. Die Appliance unterstützt RSA/DSA-Zertifikate mit bis zu 4096 Bit.

Hinweis: Citrix empfiehlt, ein gültiges SSL-Zertifikat zu verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Ungültige Zertifikate und selbst erstellte Zertifikate sind nicht mit allen SSL-Clients kompatibel.

Bevor ein Zertifikat für die SSL-Verarbeitung verwendet werden kann, müssen Sie es mit dem entsprechenden Schlüssel koppeln. Das Zertifikatschlüsselpaar wird dann an den virtuellen Server gebunden und für die SSL-Verarbeitung verwendet.

Hinzufügen eines Zertifikatsschlüsselpaars mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Zertifikatschlüsselpaar zu erstellen und die Konfiguration zu überprüfen:

  • add ssl certKey <certkeyName> -cert <string> [-key <string>]
  • <name>sslcertkey anzeigen

Beispiel:

> add ssl certKey CertKey-SSL-1 -cert ns-root.cert -key ns-root.key




 Done


> show sslcertkey CertKey-SSL-1


   Name: CertKey-SSL-1 Status: Valid,


   Days to expiration:4811 Version: 3


   Serial Number: 00 Signature Algorithm: md5WithRSAEncryption Issuer: C=US,ST=California,L=San


   Jose,O=Citrix ANG,OU=NS Internal,CN=de fault


   Validity Not Before: Oct 6 06:52:07 2006 GMT Not After : Aug 17 21:26:47 2022 GMT


   Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault Public Key


   Algorithm: rsaEncryption Public Key


   size: 1024


 Done

Hinzufügen eines Zertifikatsschlüsselpaars mithilfe der GUI

Gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Zertifikat installieren im Textfeld Zertifikatschlüsselpaarname einen Namen für das Zertifikatschlüsselpaar ein, das Sie hinzufügen möchten, z. B. CertKey-SSL-1.
  4. Klicken Sie unter Details unter Zertifikatdateiname auf Durchsuchen (Appliance), um das Zertifikat zu suchen. Sowohl das Zertifikat als auch der Schlüssel werden im Ordner /nsconfig/ssl/ der Appliance gespeichert. Um ein Zertifikat auf dem lokalen System zu verwenden, wählen Sie Lokal aus.
  5. Wählen Sie das zu verwendende Zertifikat aus, und klicken Sie dann auf Auswählen.
  6. Klicken Sie unter Dateiname des privaten Schlüssels auf Durchsuchen (Appliance), um die Datei mit dem privaten Schlüssel zu suchen. Um einen privaten Schlüssel auf dem lokalen System zu verwenden, wählen Sie Lokal aus.
  7. Wählen Sie den Schlüssel aus, den Sie verwenden möchten, und klicken Sie auf Auswählen. Um den im Zertifikatschlüsselpaar verwendeten Schlüssel zu verschlüsseln, geben Sie das Kennwort für die Verschlüsselung in das Textfeld Kennwort ein.
  8. Klicken Sie auf Installieren.
  9. Doppelklicken Sie auf das Zertifikatschlüsselpaar, und überprüfen Sie im Fenster Zertifikatdetails, ob die Parameter korrekt konfiguriert und gespeichert wurden.

Binden eines SSL-Zertifikatsschlüsselpaars an den virtuellen Server

Nachdem Sie ein SSL-Zertifikat mit dem entsprechenden Schlüssel gekoppelt haben, müssen Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server binden, damit es für die SSL-Verarbeitung verwendet werden kann. Sichere Sitzungen erfordern die Einrichtung einer Verbindung zwischen dem Clientcomputer und einem SSL-basierten virtuellen Server auf der Appliance. Die SSL-Verarbeitung erfolgt dann auf dem eingehenden Datenverkehr auf dem virtuellen Server. Bevor Sie den virtuellen SSL-Server auf der Appliance aktivieren, müssen Sie daher ein gültiges SSL-Zertifikat an den virtuellen SSL-Server binden.

Binden Sie ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server zu binden und die Konfiguration zu überprüfen:

  • bind ssl vserver <vServerName> -certkeyName <string>
  • show ssl vserver <name>

Beispiel:

> bind ssl vserver Vserver-SSL-1 -certkeyName CertKey-SSL-1




Done


> show ssl vserver Vserver-SSL-1





     Advanced SSL configuration for VServer Vserver-SSL-1:


     DH: DISABLED


     Ephemeral RSA: ENABLED Refresh Count: 0


     Session Reuse: ENABLED Timeout: 120 seconds


     Cipher Redirect: ENABLED


     SSLv2 Redirect: ENABLED


     ClearText Port: 0


     Client Auth: DISABLED


     SSL Redirect: DISABLED


     Non FIPS Ciphers: DISABLED


     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED





1) CertKey Name: CertKey-SSL-1 Server Certificate


1) Cipher Name: DEFAULT


   Description: Predefined Cipher Alias


Done

Binden Sie ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server mithilfe der GUI

Gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
  2. Wählen Sie den virtuellen Server aus, an den Sie das Zertifikatschlüsselpaar binden möchten, z. B. vServer-SSL-1, und klicken Sie auf Öffnen.
  3. Wählen Sie im Dialogfeld Virtuellen Server konfigurieren (SSL-Offload) auf der Registerkarte SSL-Einstellungen unter Verfügbar das Zertifikatsschlüsselpaar aus, das Sie an den virtuellen Server binden möchten (z. B. CertKey-SSL-1), und klicken Sie dann auf Hinzufügen.
  4. Klicken Sie auf OK.
  5. Stellen Sie sicher, dass das ausgewählte Zertifikatschlüsselpaar im Bereich Konfiguriert angezeigt wird.

Konfigurieren der Unterstützung für Outlook-Webzugriff

Wenn Sie Outlook Web Access-Server (OWA-Server) auf der Citrix ADC Appliance verwenden, müssen Sie die Appliance so konfigurieren, dass ein spezielles Header-Feld FRONT-END-HTTPS: ON in HTTP-Anforderungen eingefügt wird, die an die OWA-Server weitergeleitet werden, sodass die Server URL-Linkshttps:// anstelle von http://.

Hinweis: Sie können die OWA-Unterstützung nur für HTTP-basierte virtuelle SSL-Server und -Dienste aktivieren. Sie können es nicht für virtuelle TCP-basierte SSL-Server und -Dienste anwenden.

Gehen Sie folgendermaßen vor, um die OWA-Unterstützung zu konfigurieren:

  • Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung zu aktivieren.
  • Erstellen Sie eine SSL-Richtlinie.
  • Binden Sie die Richtlinie an den virtuellen SSL-Server.

Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung

Bevor Sie die Unterstützung von Outlook Web Access (OWA) aktivieren können, müssen Sie eine SSL-Aktion erstellen. SSL-Aktionen sind an SSL-Richtlinien gebunden und werden ausgelöst, wenn eingehende Daten mit der in der Richtlinie angegebenen Regel übereinstimmen.

Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Aktion zu erstellen, um die OWA-Unterstützung zu aktivieren und die Konfiguration zu überprüfen:

  • add ssl action <name> -OWASupport ENABLED
  • show SSL action <name>

Beispiel:

> add ssl action Action-SSL-OWA -OWASupport enabled




Done


> show SSL action Action-SSL-OWA


Name: Action-SSL-OWA


Data Insertion Action: OWA


Support: ENABLED


Done

Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung mithilfe der GUI

Gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Traffic Management > SSL > Richtlinien.
  2. Klicken Sie im Detailbereich auf der Registerkarte Aktionen auf Hinzufügen.
  3. Geben Sie im Dialogfeld SSL-Aktion erstellen im Textfeld Name die Zeichenfolge Action-SSL-OWA ein.
  4. Wählen Sie unter Outlook Web Access die Option Aktiviert aus.
  5. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
  6. Stellen Sie sicher, dass Action-SSL-OWA auf der Seite SSL-Aktionen angezeigt wird.

Erstellen von SSL-Richtlinien

SSL-Richtlinien werden mithilfe der Richtlinieninfrastruktur erstellt. An jede SSL-Richtlinie ist eine SSL-Aktion gebunden, und die Aktion wird ausgeführt, wenn eingehender Datenverkehr mit der Regel übereinstimmt, die in der Richtlinie konfiguriert wurde.

Erstellen einer SSL-Richtlinie mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie zu konfigurieren und die Konfiguration zu überprüfen:

  • add ssl policy <name> -rule <expression> -reqAction <string>
  • show ssl policy <name>

Beispiel:

> add ssl policy Policy-SSL-1 -rule ns_true -reqaction Action-SSL-OWA

Done

> show ssl policy Policy-SSL-1

Name: Policy-SSL-1 Rule: ns_true

Action: Action-SSL-OWA Hits: 0

Policy is bound to following entities

1) PRIORITY : 0

Done

Erstellen einer SSL-Richtlinie mithilfe der GUI

Gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Traffic Management > SSL > Richtlinien.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld SSL-Richtlinie erstellen im Textfeld Name den Namen der SSL-Richtlinie ein (z. B. Policy-SSL-1).
  4. Wählen Sie unter Aktion anfordern die konfigurierte SSL-Aktion aus, die Sie dieser Richtlinie zuordnen möchten (z. B. Action-SSL-OWA) Der allgemeine Ausdruck ns_true wendet die Richtlinie auf alle erfolgreichen SSL-Handshake-Datenverkehr an. Wenn Sie jedoch bestimmte Antworten filtern müssen, können Sie Richtlinien mit einer höheren Detailebene erstellen. Weitere Informationen zum Konfigurieren von granularen Richtlinienausdrücken finden Sie unterSSL-Aktionen und -Richtlinien.
  5. Wählen Sie unter Benannte Ausdrücke den integrierten allgemeinen Ausdruck ns_true aus, und klicken Sie auf Ausdruck hinzufügen. Der Ausdruck ns_true wird jetzt im Textfeld Ausdruck angezeigt.
  6. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
  7. Überprüfen Sie, ob die Richtlinie korrekt konfiguriert ist, indem Sie die Richtlinie auswählen und den Abschnitt Details unten im Bereich.

Binden Sie die SSL-Richtlinie an den virtuellen SSL-Server

Nachdem Sie eine SSL-Richtlinie für Outlook Web Access konfiguriert haben, binden Sie die Richtlinie an einen virtuellen Server, der eingehenden Outlook-Datenverkehr abfängt. Wenn die eingehenden Daten einer der in der SSL-Richtlinie konfigurierten Regeln entsprechen, wird die Richtlinie ausgelöst und die damit verbundene Aktion ausgeführt.

Binden einer SSL-Richtlinie an einen virtuellen SSL-Server mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie an einen virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:

  • bind ssl vserver <vServerName> -policyName <string>
  • show ssl vserver <name>

Beispiel:

> bind ssl vserver Vserver-SSL-1 -policyName Policy-SSL-1

 Done

> show ssl vserver Vserver-SSL-1

Advanced SSL configuration for VServer Vserver-SSL-1:

DH: DISABLED

Ephemeral RSA: ENABLED

Refresh Count: 0

Session Reuse: ENABLED

Timeout: 120 seconds

Cipher Redirect: ENABLED

SSLv2 Redirect: ENABLED

ClearText Port: 0

Client Auth: DISABLED

SSL Redirect: DISABLED

Non FIPS Ciphers: DISABLED

SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED

1) CertKey Name: CertKey-SSL-1 Server Certificate

1) Policy Name: Policy-SSL-1 Priority: 0

1) Cipher Name: DEFAULT Description: Predefined Cipher Alias

Done

Binden einer SSL-Richtlinie an einen virtuellen SSL-Server mithilfe der GUI

Gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server aus (z. B. vServer-SSL-1), und klicken Sie dann auf Öffnen.
  3. Klicken Sie im Dialogfeld Virtuellen Server konfigurieren (SSL-Offload) auf Richtlinie einfügen, und wählen Sie dann die Richtlinie aus, die Sie an den virtuellen SSL-Server binden möchten. Optional können Sie auf das Feld Priorität doppelklicken und eine neue Prioritätsstufe eingeben.
  4. Klicken Sie auf OK.