Konfigurieren der SSL-Aktion zum Weiterleiten des Clientdatenverkehrs, wenn eine Verschlüsselung auf dem ADC nicht unterstützt wird

Hinweis: Diese Funktion ist ab Version 12.1 Build 49.x verfügbar.

Wenn Sie in der Client-Hallo eine Verschlüsselung erhalten, die vom ADC nicht unterstützt wird, können Sie eine SSL-Aktion konfigurieren, um den Clientdatenverkehr an einen anderen virtuellen Server weiterzuleiten. Wenn SSL-Offload nicht gewünscht wird, konfigurieren Sie diesen virtuellen Server vom Typ TCP oder SSL_BRIDGE. Es gibt keine SSL-Offload auf dem ADC und dieser Datenverkehr wird umgangen. Konfigurieren Sie für SSL-Offload einen virtuellen SSL-Server als Vorwärtsserver.

Gehen Sie wie folgt vor:

  1. Fügen Sie einen virtuellen Lastausgleichsserver vom Typ SSL hinzu. Clientdatenverkehr wird auf diesem virtuellen Server empfangen.
  2. Binden Sie einen SSL-Dienst an diesen virtuellen Server.
  3. Fügen Sie einen virtuellen Lastausgleichsserver vom Typ TCP hinzu. Hinweis: IP-Adresse oder Portnummer ist für den virtuellen Server, an den der Datenverkehr weitergeleitet wird, nicht zwingend erforderlich.
  4. Fügen Sie einen TCP-Dienst mit Port 443 hinzu.
  5. Binden Sie diesen Dienst an den zuvor erstellten virtuellen TCP-Server.
  6. Fügen Sie eine SSL-Aktion hinzu, die den virtuellen TCP Server im Parameter ‘forward’ angibt.
  7. Fügen Sie eine SSL-Richtlinie hinzu, die die oben genannte Aktion angibt, wenn die bestimmte Verschlüsselungssuite (identifiziert durch ihren Hex-Code) in der Client-Hallo Nachricht empfangen wird.
  8. Binden Sie diese Richtlinie an den virtuellen SSL-Server.
  9. Speichern Sie die Konfiguration.

Konfiguration über die CLI

add service ssl-service 10.102.113.155 SSL 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
add lb vserver v2 TCP
add service tcp-service 10.102.113.150 TCP 443
bind lb vserver v2 tcp-service
add ssl action act1 -forward v2
add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
sh ssl vserver v1

    Advanced SSL configuration for VServer v1:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120 seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: ENABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate


    Data policy
1)  Policy Name: pol2   Priority: 1



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit
 Done
sh ssl policy pol2
    Name: pol2
    Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f)
    Action: act1
    UndefAction: Use Global
    Hits: 0
    Undef Hits: 0


    Policy is bound to following entities
1)  Bound to: CLIENTHELLO_REQ VSERVER v1
    Priority: 1

 Done
sh ssl action act1
1)  Name: act1
    Type: Data Insertion
    Forward to: v2
    Hits: 0
    Undef Hits: 0
    Action Reference Count: 1
 Done
sh ssl vserver v2

    Advanced SSL configuration for VServer v2:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120    seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit

Konfiguration über die GUI

Erstellen Sie einen virtuellen TCP-Server:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server .
  2. Erstellen Sie einen virtuellen TCP-Server.
  3. Klicken Sie in den Abschnitt Dienste und Dienstgruppen, und fügen Sie einen TCP-Dienst hinzu oder binden Sie einen vorhandenen Dienst.
  4. Klicken Sie auf Bind.
  5. Klicken Sie auf Weiter.

Erstellen Sie einen virtuellen SSL-Server:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server .
  2. Erstellen Sie einen anderen virtuellen SSL-Server.
  3. Klicken Sie in den Abschnitt Dienste und Dienstgruppen, und fügen Sie einen neuen SSL-Dienst hinzu oder binden Sie einen vorhandenen Dienst.
  4. Klicken Sie auf Bind.
  5. Klicken Sie auf Weiter.
  6. Klicken Sie in den Abschnitt Zertifikat, und binden Sie ein Serverzertifikat.
  7. Klicken Sie auf Weiter.
  8. Klicken Sie unter Erweiterte Einstellungenauf SSL-Richtlinien.
  9. Klicken Sie im Abschnitt SSL-Richtlinie, um eine vorhandene Richtlinie hinzuzufügen oder auszuwählen.
  10. Klicken Sie unter Richtlinienbindungauf Hinzufügen, und geben Sie einen Namen für die Richtlinie an.
  11. Klicken Sie unter Aktion auf Hinzufügen.
  12. Geben Sie einen Namen für die SSL-Aktion an. Wählen Sie unter Virtueller Server Vorwärtsaktion den zuvor erstellten virtuellen TCP-Server aus.
  13. Klicken Sie auf Erstellen.
  14. Geben Sie im Ausdruck CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (Hex-Code der nicht unterstützten Verschlüsselung) an.
  15. Klicken Sie auf Fertig.
  16. Konfigurieren Sie in der Richtlinie einen Ausdruck zum Auswerten des Datenverkehrs für die nicht unterstützte Verschlüsselung.
  17. Binden Sie die Aktion an die Richtlinie und die Richtlinie an den virtuellen SSL-Server. Geben Sie den Bindepunkt CLIENTHELLO_REQan.
  18. Klicken Sie auf Fertig.

Konfigurieren der SSL-Aktion zum Weiterleiten des Clientdatenverkehrs, wenn eine Verschlüsselung auf dem ADC nicht unterstützt wird