Citrix ADC

SSL-Dienstüberwachung

Die Citrix ADC Appliance verfügt über integrierte sichere Monitore, TCPS und HTTPS. Sie können die sicheren Monitore verwenden, um HTTP- und Nicht-HTTP-Datenverkehr zu überwachen. Um einen sicheren HTTP-Monitor zu konfigurieren, wählen Sie den Monitortyp als HTTP aus, und legen Sie dann das Secure Flag fest. Um einen sicheren TCP-Monitor zu konfigurieren, wählen Sie den Monitortyp als TCP aus, und legen Sie dann das Secure Flag fest. Die sicheren Monitore funktionieren wie folgt:

  • Sichere TCP-Überwachung. Die Citrix ADC Appliance stellt eine TCP-Verbindung her. Nachdem die Verbindung hergestellt wurde, führt die Appliance einen SSL-Handshake mit dem Server durch. Nachdem der Handshake beendet ist, schließt die Appliance die Verbindung.
  • Sichere HTTP-Überwachung. Die Citrix ADC Appliance stellt eine TCP-Verbindung her. Nachdem die Verbindung hergestellt wurde, führt die Appliance einen SSL-Handshake mit dem Server durch. Wenn die SSL-Verbindung hergestellt wird, sendet die Appliance HTTP-Anforderungen über den verschlüsselten Kanal und überprüft die Antwortcodes.

In der folgenden Tabelle werden die verfügbaren integrierten Monitore für die Überwachung von SSL-Diensten beschrieben.

Monitortyp Sonde Erfolgskriterien (Direkte Bedingung)
TCP TCP-Verbindung; SSL-Handshake Erfolgreiche TCP-Verbindung hergestellt und erfolgreicher SSL-Handshake.
HTTP TCP-Verbindung; SSL-Handshake; Verschlüsselte HTTP-Anfrage Eine erfolgreiche TCP-Verbindung wird hergestellt, ein erfolgreicher SSL-Handshake wird ausgeführt und der erwartete HTTP-Antwortcode in der HTTP-Antwort des Servers wird verschlüsselt.
TCP-ECV TCP-Verbindung; SSL-Handshake (Daten, die an einen Server gesendet werden, sind verschlüsselt.) Eine erfolgreiche TCP-Verbindung wird hergestellt, ein erfolgreicher SSL-Handshake wird ausgeführt und erwartete TCP-Daten werden vom Server empfangen.
HTTP-ECV TCP-Verbindung; SSL-Handshake (Verschlüsselte HTTP-Anfrage) Eine erfolgreiche TCP-Verbindung wird hergestellt, ein erfolgreicher SSL-Handshake wird ausgeführt und erwartete HTTP-Daten werden vom Server empfangen.

Beispielkonfiguration für HTTPS-ECV Health Check Monitor

HTTP-Dienste verfügen über vordefinierte Monitore, die zur Extended Content Verification (ECV) fähig sind. Diese Monitore werden verwendet, wenn eine Validierung über eine erfolgreiche TCP-Verbindung hinaus erforderlich ist. Diese Monitore validieren den Dienst als UP, wenn alle folgenden Kriterien erfüllt sind:

  • Eine erfolgreiche TCP-Verbindung.
  • Es muss eine bestimmte Art von Anforderung generiert werden.
  • Eine bestimmte Nachricht wird als Antwort von der Empfangszeichenfolgeerwartet.

Für diese Monitore wird eine Anforderungszeichenfolge zusammen mit einer Antwortzeichenfolge konfiguriert. Wenn die vom Citrix ADC Monitor empfangene Antwortzeichenfolge mit der konfigurierten Zeichenfolge übereinstimmt, wird der Dienst als UP markiert.

Binden eines Monitors an einen Dienst mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services, erstellen Sie einen Dienst, und geben Sie das Protokoll als SSLan. Klicken Sie auf OK.
  2. Klicken Sie im Bereich Service to Load Balancing Monitorbindung, und klicken Sie auf Bindung hinzufügen .
  3. Wählen Sie den Monitortyp als HTTPS-ECV aus und klicken Sie auf Bearbeiten .
  4. Geben Sie im Bereich Monitor konfigurieren auf der Registerkarte Grundparameter Werte für die folgenden Parameter ein:
    • Send String — Die Zeichenfolge, die der Monitor an den Dienst senden muss.
    • Empfangszeichenfolge — Die Zeichenfolge, die der Monitor empfangen muss, um den Dienst als UP zu markieren.

    Empfangszeichenfolge

  5. Klicken Sie auf OK, um die Monitorkonfiguration abzuschließen.
  6. Klicken Sie auf Auswählen.
  7. Klicken Sie auf Binden, um den HTTPS-ECV-Monitor an den Dienst zu binden.
  8. Klicken Sie auf Schließen.

Binden eines Monitors an einen Dienst mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind service <servicename> -monitorName https-ecv

Beispiel:

bind services1 -monitorName https-ecv

SSL-Dienstüberwachung