ADC

Sichere Lastenausgleichung durch Verwendung von SSL

Die Offload-Funktion von Citrix ADC SSL verbessert die Leistung von Websites, die SSL-Transaktionen durchführen, transparent. Durch das Verschieben von CPU-intensiven SSL-Verschlüsselungs- und Entschlüsselungsaufgaben vom lokalen Webserver auf die Appliance gewährleistet SSL-Offload die sichere Bereitstellung von Webanwendungen ohne Leistungseinbußen, die bei der Verarbeitung der SSL-Daten durch den Server entstehen. Sobald der SSL-Datenverkehr entschlüsselt ist, kann er von allen Standarddiensten verarbeitet werden. Das SSL-Protokoll arbeitet nahtlos mit verschiedenen Arten von HTTP- und TCP-Daten und bietet einen sicheren Kanal für Transaktionen, die solche Daten verwenden.

Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Anschließend konfigurieren Sie HTTP- oder TCP-Dienste und einen virtuellen SSL-Server auf der Appliance und binden die Dienste an den virtuellen Server. Sie müssen auch ein Zertifikatschlüsselpaar hinzufügen und es an den virtuellen SSL-Server binden. Wenn Sie Outlook Web Access-Server verwenden, müssen Sie eine Aktion zum Aktivieren der SSL-Unterstützung und eine Richtlinie zum Anwenden der Aktion erstellen. Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mithilfe eines ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet dann die entschlüsselten Daten zur entsprechenden Verarbeitung an die anderen Entitäten auf der Appliance weiter.

Ausführliche Informationen zum SSL-Offloading finden Sie unter SSL-Offload und Beschleunigung.

SSL-Konfigurations-Tasksequenz

Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Anschließend müssen Sie einen virtuellen SSL-Server und HTTP- oder TCP-Dienste auf der Citrix ADC Appliance erstellen. Schließlich müssen Sie ein gültiges SSL-Zertifikat und die konfigurierten Dienste an den virtuellen SSL-Server binden.

Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mit einem ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet dann die entschlüsselten Daten zur entsprechenden Verarbeitung an die anderen Entitäten auf der Citrix ADC Appliance weiter.

Das folgende Flussdiagramm zeigt die Reihenfolge der Aufgaben zum Konfigurieren einer grundlegenden SSL-Offload-Setup.

Abbildung 1. Abfolge von Tasks zum Konfigurieren von SSL-Offload

SSL-Flussdiagramm

SSL-Offload aktivieren

Aktivieren Sie zuerst die SSL-Funktion. Sie können SSL-basierte Entitäten auf der Appliance konfigurieren, ohne die SSL-Funktion zu aktivieren. Diese funktionieren jedoch erst, wenn Sie SSL aktivieren.

Aktivieren von SSL über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um SSL-Offload zu aktivieren und die Konfiguration zu überprüfen:

-  enable ns feature SSL
-  show ns feature
<!--NeedCopy-->

Beispiel:

> enable ns feature ssl

Done


> show ns feature


Feature Acronym Status


------- ------- ------


1) Web Logging WL ON


2) SurgeProtection SP OFF


3) Load Balancing LB ON . . .


 9) SSL Offloading SSL ON


10) Global Server Load Balancing GSLB ON . .


Done >
<!--NeedCopy-->

Aktivieren von SSL über die GUI

Führen Sie die folgenden Schritte aus:

  1. Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Einstellungen.
  2. Klicken Sie im Detailbereich unter Modi und Funktionenauf Grundfunktionen ändern.
  3. Aktivieren Sie das Kontrollkästchen SSL Offloading, und klicken Sie dann auf OK.
  4. In der Funktion (en) aktivieren/deaktivieren? meldungsfeld, klicken Sie auf Ja.

HTTP-Dienste erstellen

Ein Dienst auf der Appliance stellt eine Anwendung auf einem Server dar. Nach der Konfiguration befinden sich die Dienste im deaktivierten Zustand, bis die Appliance den Server im Netzwerk erreichen und den Status überwachen kann. In diesem Artikel werden die Schritte zum Erstellen eines HTTP-Dienstes behandelt.

Hinweis: Führen Sie für TCP-Datenverkehr die folgenden Verfahren aus, erstellen Sie jedoch TCP-Dienste anstelle von HTTP-Diensten.

Hinzufügen eines HTTP-Dienstes über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen HTTP-Dienst hinzuzufügen und die Konfiguration zu überprüfen:

-  add service <name> (<IP> | <serverName>) <serviceType> <port>
-  show service <name>
<!--NeedCopy-->

Beispiel:

> add service SVC_HTTP1 10.102.29.18 HTTP 80


 Done


> show service SVC_HTTP1


        SVC_HTTP1 (10.102.29.18:80) - HTTP


        State: UP


        Last state change was at Wed Jul 15 06:13:05 2009


        Time since last state change: 0 days, 00:00:15.350


        Server Name: 10.102.29.18


        Server ID : 0   Monitor Threshold : 0


        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits


        Use Source IP: NO


        Client Keepalive(CKA): NO


        Access Down Service: NO


        TCP Buffering(TCPB): NO


        HTTP Compression(CMP): YES


        Idle timeout: Client: 180 sec   Server: 360 sec


        Client IP: DISABLED


        Cacheable: NO


        SC: OFF


        SP: OFF


        Down state flush: ENABLED





1)      Monitor Name: tcp-default


                State: UP       Weight: 1


                Probes: 4       Failed [Total: 0 Current: 0]


                Last response: Success - TCP syn+ack received.


                Response Time: N/A


 Done
<!--NeedCopy-->

Hinzufügen eines HTTP-Dienstes mit der GUI

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL Offload > Services.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Dienst erstellen den Namen des Dienstes, die IP-Adresse und den Port ein (z. B. SVC_HTTP1, 10.102.29.18 und 80).
  4. Wählen Sie in der Liste Protokoll den Typ des Dienstes aus (z. B. HTTP).
  5. Klicken Sie auf Erstellenund dann auf Schließen. Der konfigurierte HTTP-Dienst wird auf der Seite Dienste angezeigt.
  6. Überprüfen Sie, ob die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den Dienst auswählen und den Abschnitt Details am unteren Rand des Bereichs anzeigen.

Hinzufügen eines SSL-basierten virtuellen Servers

In einem einfachen SSL-Offload-Setup fängt der virtuelle SSL-Server verschlüsselten Datenverkehr ab, entschlüsselt ihn und sendet die Klartextnachrichten an die Dienste, die an den virtuellen Server gebunden sind. Durch das Verschieben der CPU-intensiven SSL-Verarbeitung an die Appliance können die Back-End-Server eine größere Anzahl von Anforderungen verarbeiten.

Hinzufügen eines SSL-basierten virtuellen Servers mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen SSL-basierten virtuellen Server zu erstellen und die Konfiguration zu überprüfen:

-  add lb vserver <name> <serviceType> [<IPAddress> <port>]
-  show lb vserver <name>
<!--NeedCopy-->

Achtung: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.

Beispiel:

> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443
  Done


  > show lb vserver vserver-SSL-1


  vserver-SSL-1 (10.102.29.50:443) - SSL Type: ADDRESS


  State: DOWN[Certkey not bound] Last state change was at Tue Jun 16 06:33:08 2009 (+176 ms)


  Time since last state change: 0 days, 00:03:44.120


  Effective State: DOWN Client Idle Timeout: 180 sec


  Down state flush: ENABLED


  Disable Primary Vserver On Down : DISABLED


  No. of Bound Services : 0 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP


  Persistence: NONE


  Vserver IP and Port insertion: OFF


  Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule: Done
<!--NeedCopy-->

Hinzufügen eines SSL-basierten virtuellen Servers über die GUI

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL Offload > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Virtuellen Server erstellen (SSL-Offload) den Namen des virtuellen Servers, die IP-Adresse und den Port ein.
  4. Wählen Sie in der Liste Protokoll den Typ des virtuellen Servers aus, z. B.
  5. Klicken Sie auf Erstellenund dann auf Schließen.
  6. Stellen Sie sicher, dass die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den virtuellen Server auswählen und den Abschnitt Details unten im Bereich anzeigen. Der virtuelle Server ist als DOWN gekennzeichnet, da ein Zertifikatschlüsselpaar und Dienste nicht an ihn gebunden sind.

Achtung: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.

Binden von Diensten an den virtuellen SSL-Server

Nach dem Entschlüsseln der eingehenden Daten leitet der virtuelle SSL-Server die Daten an die Dienste weiter, die Sie an den virtuellen Server gebunden haben.

Die Datenübertragung zwischen der Appliance und den Servern kann verschlüsselt oder in Klartext erfolgen. Wenn die Datenübertragung zwischen der Appliance und den Servern verschlüsselt ist, ist die gesamte Transaktion von Ende zu Ende sicher. Weitere Informationen zum Konfigurieren des Systems für End-to-End-Sicherheit finden Sie unter SSL-Offload and Acceleration.

Binden eines Dienstes an einen virtuellen Server mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Dienst an den virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:

-  bind lb vserver <name> <serviceName>
-  show lb vserver <name>
<!--NeedCopy-->

Beispiel:

> bind lb vserver vserver-SSL-1 SVC_HTTP1




  Done


  > show lb vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) - SSL Type:


  ADDRESS State: DOWN[Certkey not bound]


  Last state change was at Tue Jun 16 06:33:08 2009 (+174 ms)


  Time since last state change: 0 days, 00:31:53.70


  Effective State: DOWN Client Idle


  Timeout: 180 sec


  Down state flush: ENABLED Disable Primary Vserver On Down :


  DISABLED No. of Bound Services : 1 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP and


  Port insertion: OFF Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule:





  1) SVC_HTTP1 (10.102.29.18: 80) - HTTP


  State: DOWN Weight: 1


  Done
<!--NeedCopy-->

Binden eines Dienstes an einen virtuellen Server mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL Offload > Virtuelle Server.
  2. Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
  3. Aktivieren Sie auf der Registerkarte Dienste in der Spalte Aktiv die Kontrollkästchen neben den Diensten, die Sie an den ausgewählten virtuellen Server binden möchten.
  4. Klicken Sie auf OK.
  5. Stellen Sie sicher, dass der Leistungsindikator Anzahl gebundener Dienste im Abschnitt Details am unteren Rand des Bereichs um die Anzahl der Dienste erhöht wird, die Sie an den virtuellen Server gebunden haben.

Hinzufügen eines Zertifikatschlüsselpaars

Ein SSL-Zertifikat ist ein integraler Bestandteil des SSL-Schlüsselaustausch- und Verschlüsselungs-/Entschlüsselungsprozesses. Das Zertifikat wird während eines SSL-Handshake verwendet, um die Identität des SSL-Servers zu ermitteln. Sie können ein gültiges, vorhandenes SSL-Zertifikat verwenden, das Sie auf der Citrix ADC Appliance haben, oder Sie können ein eigenes SSL-Zertifikat erstellen. Die Appliance unterstützt RSA-Zertifikate mit bis zu 4096 Bit.

ECDSA-Zertifikate mit nur den folgenden Kurven werden unterstützt:

  • prime256v1 (P_256 im ADC)
  • secp384r1 (P_384 im ADC)
  • secp521r1 (P_521 im ADC; nur auf VPX unterstützt)
  • secp224r1 (P_224 im ADC; nur auf VPX unterstützt)

Hinweis: Citrix empfiehlt, dass Sie ein gültiges SSL-Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Ungültige Zertifikate und selbst erstellte Zertifikate sind nicht mit allen SSL-Clients kompatibel.

Bevor ein Zertifikat für die SSL-Verarbeitung verwendet werden kann, müssen Sie es mit dem entsprechenden Schlüssel koppeln. Das Zertifikatschlüsselpaar wird dann an den virtuellen Server gebunden und für die SSL-Verarbeitung verwendet.

Hinzufügen eines Zertifikatsschlüsselpaars über die CLI

Hinweis: Informationen zum Erstellen eines ECDSA-Zertifikatschlüsselpaars finden Sie unter Erstellen eines ECDSA-Zertifikatschlüsselpaars.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Zertifikatschlüsselpaar zu erstellen und die Konfiguration zu überprüfen:

-  add ssl certKey <certkeyName> -cert <string> [-key <string>]
-  show sslcertkey <name>
<!--NeedCopy-->

Beispiel:

> add ssl certKey CertKey-SSL-1 -cert ns-root.cert -key ns-root.key

 Done


> show sslcertkey CertKey-SSL-1


   Name: CertKey-SSL-1 Status: Valid,


   Days to expiration:4811 Version: 3


   Serial Number: 00 Signature Algorithm: md5WithRSAEncryption Issuer: C=US,ST=California,L=San


   Jose,O=Citrix ANG,OU=NS Internal,CN=de fault


   Validity Not Before: Oct 6 06:52:07 2006 GMT Not After : Aug 17 21:26:47 2022 GMT


   Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault Public Key


   Algorithm: rsaEncryption Public Key


   size: 1024


 Done
<!--NeedCopy-->

Hinzufügen eines Zertifikatsschlüsselpaars über die GUI

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Zertifikat installieren im Textfeld Certificate-Key Pair Name einen Namen für das Zertifikatschlüsselpaar ein, das Sie hinzufügen möchten, z. B. Certkey-SSL-1.
  4. Klicken Sie unter Details in Zertifikatdateiname auf Durchsuchen (Appliance), um das Zertifikat zu finden. Sowohl das Zertifikat als auch der Schlüssel werden im Ordner /nsconfig/ssl/ der Appliance gespeichert. Um ein Zertifikat auf dem lokalen System zu verwenden, wählen Sie Lokal aus.
  5. Wählen Sie das Zertifikat aus, das Sie verwenden möchten, und klicken Sie dann auf Auswählen.
  6. Klicken Sie unter Dateiname des privaten Schlüssels auf Durchsuchen (Appliance), um die Datei mit dem privaten Schlüssel zu suchen. Um einen privaten Schlüssel auf dem lokalen System zu verwenden, wählen Sie Lokal aus.
  7. Wählen Sie den Schlüssel aus, den Sie verwenden möchten, und klicken Sie auf Auswählen. Um den im Zertifikatschlüsselpaar verwendeten Schlüssel zu verschlüsseln, geben Sie das Kennwort für die Verschlüsselung in das Textfeld Kennwort ein.
  8. Klicken Sie auf Installieren.
  9. Doppelklicken Sie auf das Zertifikatschlüsselpaar, und überprüfen Sie im Fenster Zertifikatdetails, ob die Parameter korrekt konfiguriert und gespeichert wurden.

Binden eines SSL-Zertifikatsschlüsselpaars an den virtuellen Server

Nachdem Sie ein SSL-Zertifikat mit dem entsprechenden Schlüssel gekoppelt haben, binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server, damit es für die SSL-Verarbeitung verwendet werden kann. Sichere Sitzungen erfordern die Einrichtung einer Verbindung zwischen dem Clientcomputer und einem SSL-basierten virtuellen Server auf der Appliance. Die SSL-Verarbeitung erfolgt dann auf dem eingehenden Datenverkehr auf dem virtuellen Server. Bevor Sie den virtuellen SSL-Server auf der Appliance aktivieren, müssen Sie daher ein gültiges SSL-Zertifikat an den virtuellen SSL-Server binden.

Binden Sie ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server zu binden und die Konfiguration zu überprüfen:

-  bind ssl vserver <vServerName> -certkeyName <string>
-  show ssl vserver <name>
<!--NeedCopy-->

Beispiel:

> bind ssl vserver Vserver-SSL-1 -certkeyName CertKey-SSL-1

Done


> show ssl vserver Vserver-SSL-1





     Advanced SSL configuration for VServer Vserver-SSL-1:


     DH: DISABLED


     Ephemeral RSA: ENABLED Refresh Count: 0


     Session Reuse: ENABLED Timeout: 120 seconds


     Cipher Redirect: ENABLED


     SSLv2 Redirect: ENABLED


     ClearText Port: 0


     Client Auth: DISABLED


     SSL Redirect: DISABLED


     Non FIPS Ciphers: DISABLED


     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED





1) CertKey Name: CertKey-SSL-1 Server Certificate


1) Cipher Name: DEFAULT


   Description: Predefined Cipher Alias


Done
<!--NeedCopy-->

Binden Sie ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server über die GUI

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL Offload > Virtuelle Server.
  2. Wählen Sie den virtuellen Server aus, an den Sie das Zertifikatschlüsselpaar binden möchten, z. B. vServer-SSL-1, und klicken Sie auf Öffnen.
  3. Wählen Sie im Dialogfeld Configure Virtual Server (SSL Offload) auf der Registerkarte SSL-Einstellungen unter Verfügbardas Zertifikatschlüsselpaar aus, das Sie an den virtuellen Server binden möchten. Klicken Sie dann auf Hinzufügen.
  4. Klicken Sie auf OK.
  5. Stellen Sie sicher, dass das ausgewählte Zertifikatschlüsselpaar im Bereich Konfiguriert angezeigt wird.

Konfigurieren der Unterstützung für Outlook-Webzugriff

Wenn Sie Outlook Web Access-Server (OWA-Server) auf der Citrix ADC Appliance verwenden, müssen Sie die Appliance so konfigurieren, dass ein spezielles Header-Feld FRONT-END-HTTPS: ON in HTTP-Anforderungen eingefügt wird, die an die OWA-Server weitergeleitet werden, sodass die Server URL-Linkshttps:// anstelle von http://.

Hinweis: Sie können die OWA-Unterstützung nur für virtuelle SSL-Server und -Dienste auf HTTP-Basis aktivieren. Sie können es nicht für virtuelle TCP-basierte SSL-Server und -Dienste anwenden.

Gehen Sie folgendermaßen vor, um die OWA-Unterstützung zu konfigurieren:

  • Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung zu aktivieren.
  • Erstellen Sie eine SSL-Richtlinie.
  • Binden Sie die Richtlinie an den virtuellen SSL-Server.

Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung

Bevor Sie die Unterstützung von Outlook Web Access (OWA) aktivieren können, müssen Sie eine SSL-Aktion erstellen. SSL-Aktionen sind an SSL-Richtlinien gebunden und werden ausgelöst, wenn eingehende Daten mit der in der Richtlinie angegebenen Regel übereinstimmen.

Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Aktion zu erstellen, um die OWA-Unterstützung zu aktivieren und die Konfiguration zu überprüfen:

-  add ssl action <name> -OWASupport ENABLED
-  show SSL action <name>
<!--NeedCopy-->

Beispiel:

    > add ssl action Action-SSL-OWA -OWASupport enabled




    Done


    > show SSL action Action-SSL-OWA


    Name: Action-SSL-OWA


    Data Insertion Action: OWA


    Support: ENABLED


    Done
<!--NeedCopy-->

Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung mit der GUI

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL > Richtlinien.
  2. Klicken Sie im Detailbereich auf der Registerkarte Aktionen auf Hinzufügen.
  3. Geben Sie im Dialogfeld Create SSL Action im Textfeld Name den Namen Action-SSL-OWA ein.
  4. Wählen Sie unter Outlook Web Access die Option Aktiviertaus.
  5. Klicken Sie auf Erstellenund dann auf Schließen.
  6. Stellen Sie sicher, dass Action-SSL-OWA auf der Seite SSL-Aktionen angezeigt wird.

Erstellen von SSL-Richtlinien

SSL-Richtlinien werden mithilfe der Richtlinieninfrastruktur erstellt. An jede SSL-Richtlinie ist eine SSL-Aktion gebunden, und die Aktion wird ausgeführt, wenn eingehender Datenverkehr mit der Regel übereinstimmt, die in der Richtlinie konfiguriert wurde.

Erstellen einer SSL-Richtlinie mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie zu konfigurieren und die Konfiguration zu überprüfen:

-  add ssl policy <name> -rule <expression> -reqAction <string>
-  show ssl policy <name>
<!--NeedCopy-->

Beispiel:

> add ssl policy Policy-SSL-1 -rule ns_true -reqaction Action-SSL-OWA

Done

> show ssl policy Policy-SSL-1

Name: Policy-SSL-1 Rule: ns_true

Action: Action-SSL-OWA Hits: 0

Policy is bound to following entities

1) PRIORITY : 0

Done
<!--NeedCopy-->

Erstellen einer SSL-Richtlinie über die GUI

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL > Richtlinien.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Create SSL Policy im Textfeld Name den Namen der SSL-Richtlinie ein (z. B. Policy-SSL-1).
  4. Wählen Sie unter “Aktion anfordern “ die konfigurierte SSL-Aktion aus, die Sie dieser Richtlinie zuordnen möchten (z. B. Action-SSL-OWA). Der allgemeine Ausdruck ns_true wendet die Richtlinie auf alle erfolgreichen SSL-Handshake-Datenverkehr an. Um bestimmte Antworten zu filtern, können Sie jedoch Richtlinien mit einer höheren Detailgenauigkeit erstellen. Weitere Informationen zum Konfigurieren granularer Richtlinienausdrücke finden Sie unter SSL-Aktionen und Richtlinien.
  5. Wählen Sie in Benannte Ausdrückeden integrierten allgemeinen Ausdruck ns_true aus und klicken Sie auf Ausdruck hinzufügen. Der Ausdruck ns_true wird jetzt im Textfeld Ausdruck angezeigt.
  6. Klicken Sie auf Erstellenund dann auf Schließen.
  7. Überprüfen Sie, ob die Richtlinie korrekt konfiguriert ist, indem Sie die Richtlinie auswählen und den Abschnitt Details unten im Bereich.

Binden Sie die SSL-Richtlinie an den virtuellen SSL-Server

Nachdem Sie eine SSL-Richtlinie für Outlook Web Access konfiguriert haben, binden Sie die Richtlinie an einen virtuellen Server, der eingehenden Outlook-Datenverkehr abfängt. Wenn die eingehenden Daten einer der in der SSL-Richtlinie konfigurierten Regeln entsprechen, wird die Richtlinie ausgelöst und die damit verbundene Aktion ausgeführt.

Binden einer SSL-Richtlinie an einen virtuellen SSL-Server über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie an einen virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:

-  bind ssl vserver <vServerName> -policyName <string>
-  show ssl vserver <name>
<!--NeedCopy-->

Beispiel:

> bind ssl vserver Vserver-SSL-1 -policyName Policy-SSL-1

 Done

> show ssl vserver Vserver-SSL-1

Advanced SSL configuration for VServer Vserver-SSL-1:

DH: DISABLED

Ephemeral RSA: ENABLED

Refresh Count: 0

Session Reuse: ENABLED

Timeout: 120 seconds

Cipher Redirect: ENABLED

SSLv2 Redirect: ENABLED

ClearText Port: 0

Client Auth: DISABLED

SSL Redirect: DISABLED

Non FIPS Ciphers: DISABLED

SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED

1) CertKey Name: CertKey-SSL-1 Server Certificate

1) Policy Name: Policy-SSL-1 Priority: 0

1) Cipher Name: DEFAULT Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

Binden einer SSL-Richtlinie an einen virtuellen SSL-Server über die GUI

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL Offload > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server (z. B. vServer-SSL-1) aus, und klicken Sie dann auf Öffnen.
  3. Klicken Sie im Dialogfeld Configure Virtual Server (SSL Offload) auf Policy einfügen, und wählen Sie dann die Richtlinie aus, die Sie an den virtuellen SSL-Server binden möchten. Optional können Sie auf das Feld Priorität doppelklicken und eine neue Prioritätsstufe eingeben.
  4. Klicken Sie auf OK.