Citrix ADC

SSL-Offloading mit End-to-End-Verschlüsselung konfigurieren

Ein einfaches SSL-Offloading-Setup beendet SSL-Datenverkehr (HTTPS), entschlüsselt die SSL-Datensätze und leitet den HTTP-Datenverkehr (Clear Text) an die Back-End-Webserver weiter. Der Datenverkehr mit klarem Text ist anfällig dafür, dass Personen gespooft, gelesen, gestohlen oder kompromittiert werden, die Zugriff auf Back-End-Netzwerkgeräte oder Webserver haben.

Sie können daher SSL-Abladung mit End-to-End-Sicherheit konfigurieren, indem Sie die Klartextdaten erneut verschlüsseln und sichere SSL-Sitzungen verwenden, um mit den Back-End-Webservern zu kommunizieren.

Konfigurieren Sie die Back-End-SSL-Transaktionen so, dass die Appliance SSL-Sitzungsmultiplexing verwendet, um vorhandene SSL-Sitzungen mit den Back-End-Webservern wiederzuverwenden. Es hilft bei der Vermeidung von CPU-intensiven Schlüsselaustauschvorgängen (vollständiger Handshake) und reduziert auch die Gesamtzahl der SSL-Sitzungen auf dem Server. Dadurch wird die SSL-Transaktion beschleunigt und gleichzeitig die End-to-End-Sicherheit aufrechterhalten.

So konfigurieren Sie eine End-to-End-Verschlüsselungsbereitstellung:

  • Erstellen von SSL-Diensten
  • Erstellen eines virtuellen SSL-Servers
  • Hinzufügen eines Zertifikatschlüsselpaars
  • Binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server
  • Binden Sie die Dienste an den virtuellen SSL-Server

Hinweise zum Hinzufügen von Diensten, virtuellen Servern und Zertifikatschlüsselpaaren finden Sie unterSSL-Offloadkonfiguration.

Beispielwerte, die in der Konfiguration verwendet werden, sind in der Tabelle

Entität Name IP-Adresse Port
SSL-Dienst service-ssl-1 198.51.100.5 443
SSL-Dienst service-ssl-2 198.51.100.10 443
Virtueller SSL-Server vserver-ssl 203.0.113.5 443
SSL-Zertifikatschlüsselpaar certkey-1 NA NA

Beispiel:

add service service-ssl-1 198.51.100.5 SSL 443

add service service-ssl-2 198.51.100.10 SSL 443

add lb vserver vserver-ssl SSL 203.0.113.5 443

add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky

bind ssl vserver vserver-ssl -certkeyName certkey-1

bind lb vserver vserver-ssl service-ssl-1

bind lb vserver vserver-ssl service-ssl-2

Konfigurieren des SSL-Abladens mit Ende-zu-Ende-Verschlüsselung über die GUI

  1. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Dienste > Hinzufügen.
  2. Fügen Sie zwei Dienste hinzu:service-ssl-1 undservice-ssl-2.
  3. Navigieren Sie zu Verkehrsverwaltung > SSL > Zertifikate > Installieren.
  4. Fügen Sie ein Zertifikatschlüsselpaar hinzu:certkey-1.
  5. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Virtuelle Server > Hinzufügen.
  6. Fügen Sie einen virtuellen Server hinzu:vserver-ssl.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf die Bindung des virtuellen Serverdienstes für den Lastausgleich
  9. Klicken Sie in Dienst auswählenauf den Pfeil.
  10. Wählen Sie im Dialogfeld Dienst die Optionservice-ssl-1 und ausservice-ssl-2.
  11. Klicken Sie auf Auswählen.
  12. Klicken Sie auf Bind.
  13. Klicken Sie auf Weiter.
  14. Klicken Sie im Abschnitt Zertifikat auf Serverzertifikat.
  15. Klicken Sie unter Serverzertifikat auswählenauf den Pfeil.
  16. Klicken Sie im Dialogfeld Serverzertifikate aufcertkey-1.
  17. Klicken Sie auf Auswählen.
  18. Klicken Sie auf Bind.
  19. Klicken Sie auf Weiter.
  20. Klicken Sie auf Fertig.

SSL-Abladung mit Ende-zu-Ende-Verschlüsselung

SSL-Offloading mit End-to-End-Verschlüsselung konfigurieren