Konfigurieren der SSL-Aktion zum Weiterleiten des Clientdatenverkehrs, wenn die Appliance kein domänenspezifisches (SNI) Zertifikat besitzt

Hinweis: Diese Funktion ist ab Version 12.1 Build 49.x verfügbar.

Wenn Sie in der Client-Hallo eine Anforderung für eine Domäne erhalten, für die das Zertifikat auf der Appliance nicht verfügbar ist, können Sie eine SSL-Aktion konfigurieren, um den Clientdatenverkehr an einen anderen virtuellen Server weiterzuleiten. Wenn Sie keine SSL-Offload auf der Appliance wünschen, leiten Sie den Datenverkehr an einen virtuellen Server vom Typ TCP oder SSL_BRIDGE weiter. Bei SSL-Offload leiten Sie den Datenverkehr an einen virtuellen SSL-Server weiter. Im folgenden Beispiel haben wir einen virtuellen SSL-Server als Vorwärtsserver konfiguriert. Diese Einstellung stellt sicher, dass alle Verbindungen, die aufgrund eines fehlenden SNI-Zertifikats auf dem ursprünglichen virtuellen Server fehlschlagen, auf dem virtuellen Weiterleitungsserver erfolgreich sind.

Gehen Sie wie folgt vor:

  1. Fügen Sie einen virtuellen Lastausgleichsserver vom Typ SSL hinzu (z. B. v1). Clientdatenverkehr wird auf diesem virtuellen Server empfangen.
  2. Fügen Sie einen SSL-Dienst mit Port 443 hinzu.
  3. Binden Sie diesen Dienst an den virtuellen SSL-Server.
  4. Fügen Sie einen weiteren virtuellen Lastausgleichsserver vom Typ SSL hinzu, an den der Datenverkehr weitergeleitet werden soll. (Zum Beispiel fwd-vserver).
  5. Fügen Sie einen Dienst hinzu und binden Sie ihn an diesen virtuellen Server.
  6. Binden Sie diesen Dienst an den virtuellen SSL-Server.
  7. Fügen Sie eine SSL-Aktion hinzu, die den virtuellen SSL-Server fwd-vserver im Parameter ‘forward’ angibt.
  8. Fügen Sie eine SSL-Richtlinie hinzu, die die oben genannte Aktion angibt, wenn ein bestimmter Domänenname (SNI) in der Client-Hallo Nachricht empfangen wird.
  9. Binden Sie diese Richtlinie an den virtuellen SSL-Server v1.
  10. Speichern Sie die Konfiguration.

Konfiguration über die CLI

Konfiguration des virtuellen SSL-Servers, an den der Datenverkehr weitergeleitet werden soll

add lb vserver fwd-vserver SSL 10.102.57.184 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
bind ssl vserver fwd-vserver -certkeyName sv
bind ssl vserver fwd-vserver -certkeyName cacert -CA
add service ssl-service2 10.102.113.150 SSL 443
bind lb vserver fwd-vserver ssl-service2

Konfiguration für den virtuellen SSL-Server, der ursprünglich Clientdatenverkehr empfängt

add service ssl-service 10.102.113.155 SSL 443
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
set ssl vserver v1 -sni ENABLED
add ssl certKey snicert2 -cert /nsconfig/ssl/complete/SNI/server/serverabc.pem -key /nsconfig/ssl/complete/SNI/server/serverabc.ky
add ssl certKey snicert -cert /nsconfig/ssl/complete/SNI/server/serverabcnetscaler.pem -key /nsconfig/ssl/complete/SNI/server/serverabcnetscaler.ky
bind ssl vserver v1 -certkeyName snicert -sniCert
bind ssl vserver v1 -certkeyName snicert2 -sniCert
add ssl action act1 -forward fwd-vserver
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains("xyz") -action act1
bind ssl vserver v1 -policyName pol1 -type CLIENTHELLO_REQ -priority 1
sh ssl vserver v1

    Advanced SSL configuration for VServer v1:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120 seconds
    Cipher Redirect: DISABLED
    SSLfwd-vserver Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: ENABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLfwd-vserver: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate
2)  CertKey Name: snicert2  Server Certificate for SNI
3)  CertKey Name: snicert   Server Certificate for SNI


Data policy
1) Policy Name: pol1    Priority: 1



1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done
sh ssl policy pol1
    Name: pol1
    Rule: client.ssl.client_hello.sni.contains("xyz")
    Action: act1
    UndefAction: Use Global
    Hits: 0
    Undef Hits: 0


    Policy is bound to following entities
1)  Bound to: CLIENTHELLO_REQ VSERVER v1
    Priority: 1

Done
sh ssl action act1
1)  Name: act1
    Type: Data Insertion
    Forward to: fwd-vserver
    Hits: 0
    Undef Hits: 0
    Action Reference Count: 1
Done
sh ssl vserver fwd-vserver

    Advanced SSL configuration for VServer fwd-vserver:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120 seconds
    Cipher Redirect: DISABLED
    SSLfwd-vserver Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLfwd-vserver: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit
Done

Konfigurieren der SSL-Aktion zum Weiterleiten des Clientdatenverkehrs, wenn die Appliance kein domänenspezifisches (SNI) Zertifikat besitzt