SSL-Offloading mit End-to-End-Verschlüsselung konfigurieren

Ein einfaches SSL-Offloading-Setup beendet SSL-Datenverkehr (HTTPS), entschlüsselt die SSL-Datensätze und leitet den HTTP-Datenverkehr (Clear Text) an die Back-End-Webserver weiter. Der klare Textverkehr ist jedoch anfällig dafür, dass Personen gefälscht, gelesen, gestohlen oder gefährdet werden, die Zugang zu den Back-End-Netzwerkgeräten oder Webservern haben.

Sie können daher SSL-Abladung mit End-to-End-Sicherheit konfigurieren, indem Sie die Klartextdaten erneut verschlüsseln und sichere SSL-Sitzungen verwenden, um mit den Back-End-Webservern zu kommunizieren.

Darüber hinaus können Sie die Back-End-SSL-Transaktionen so konfigurieren, dass die Citrix ADC Appliance SSL-Sitzungsmultiplexing verwendet, um vorhandene SSL-Sitzungen mit den Back-End-Webservern wiederzuverwenden, wodurch CPU-intensive Schlüsselaustauschvorgänge (Full Handshake) vermieden werden. Dadurch wird die Gesamtzahl der SSL-Sitzungen auf dem Server reduziert und die SSL-Transaktion beschleunigt, während die End-to-End-Sicherheit beibehalten wird.

Um SSL-Abladung mit End-to-End-Verschlüsselung zu konfigurieren, fügen Sie SSL-basierte Dienste hinzu, die sichere Server darstellen, mit denen die Citrix ADC Appliance End-to-End-Verschlüsselung durchführt. Erstellen Sie dann einen SSL-basierten virtuellen Server, und erstellen und binden Sie ein gültiges Zertifikatschlüsselpaar an den virtuellen Server. Binden Sie die SSL-Dienste an den virtuellen Server, um die Konfiguration abzuschließen.

So konfigurieren Sie eine End-to-End-Verschlüsselungsbereitstellung:

  • Erstellen von SSL-Diensten
  • Erstellen eines virtuellen SSL-Servers
  • Hinzufügen eines Zertifikatschlüsselpaars
  • Binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server
  • Binden Sie die Dienste an den virtuellen SSL-Server

Hinweise zum Hinzufügen von Diensten, virtuellen Servern und Zertifikatschlüsselpaaren finden Sie unterSSL-Offloadkonfiguration.

Beispielwerte, die in der Konfiguration verwendet werden, sind in der Tabelle

Entität

Name

IP-Adresse

Port

SSL-Dienst

service-ssl-1

198.51.100.5

443

SSL-Dienst

service-ssl-2

198.51.100.10

443

Virtueller SSL-Server

vserver-ssl

203.0.113.5

443

SSL-Zertifikatschlüsselpaar

certkey-1

Beispiel:

add service service-ssl-1 198.51.100.5 SSL 443

add service service-ssl-2 198.51.100.10 SSL 443

add lb vserver vserver-ssl SSL 203.0.113.5 443

add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky

bind ssl vserver vserver-ssl -certkeyName certkey-1

bind lb vserver vserver-ssl service-ssl-1

bind lb vserver vserver-ssl service-ssl-2

SSL-Offloading mit End-to-End-Verschlüsselung konfigurieren