Konfigurieren der transparenten SSL-Beschleunigung

Hinweis: Abhängig von Ihrer Bereitstellung müssen Sie möglicherweise den L2-Modus auf der Citrix ADC Appliance aktivieren.

Transparente SSL-Beschleunigung ist nützlich, um mehrere Anwendungen auf einem sicheren Server mit derselben öffentlichen IP auszuführen. Es ist auch nützlich für SSL-Beschleunigung, ohne eine zusätzliche öffentliche IP zu verwenden.

In einem transparenten SSL-Beschleunigungs-Setup ist die Citrix ADC Appliance für den Client transparent. Dies liegt daran, dass die IP-Adresse, an der die Appliance Anfragen empfängt, mit der IP-Adresse des Webservers übereinstimmt.

Die Citrix ADC Appliance verschiebt SSL-Datenverkehrsverarbeitung vom Webserver und sendet entweder Klartext oder verschlüsselten Datenverkehr (abhängig von der Konfiguration) an den Webserver. Der gesamte andere Datenverkehr ist für die Appliance transparent und wird mit dem Webserver überbrückt. Daher sind andere Anwendungen, die auf dem Server ausgeführt werden, nicht betroffen.

Auf der Appliance stehen drei Modi der transparenten SSL-Beschleunigung zur Verfügung:

  • Dienstbasierter transparenter Zugriff, wobei der Diensttyp SSL oder SSL_TCP sein kann.
  • Virtueller serverbasierter transparenter Zugriff mit einer Platzhalter-IP-Adresse (*:443).
  • SSL VIP-basierter transparenter Zugriff mit End-to-End-Verschlüsselung.

Hinweis: Ein SSL_TCP-Dienst wird für Nicht-HTTPS-Dienste (z. B. SMTPS und IMAPS) verwendet.

Service-basierte transparente SSL-Beschleunigung

Um eine transparente SSL-Beschleunigung im SSL-Dienstmodus zu aktivieren, konfigurieren Sie einen SSL- oder einen SSL_TCP-Dienst mit der IP-Adresse des eigentlichen Backend-Webservers. Anstelle eines virtuellen Servers, der SSL-Datenverkehr abfängt und an den Dienst weitergibt, wird der Datenverkehr nun direkt an den Dienst weitergegeben. Der Dienst entschlüsselt den SSL-Datenverkehr und sendet Klartextdaten an den Backend-Server.

Im servicebasierten Modus können Sie einzelne Dienste mit einem anderen Zertifikat oder mit einem anderen Klartext-Port konfigurieren. Außerdem können Sie einzelne Dienste für die SSL-Beschleunigung auswählen.

Sie können dienstbasierte transparente SSL-Beschleunigung auf Daten anwenden, die unterschiedliche Protokolle verwenden. Legen Sie dazu den Klartext-Port des SSL-Dienstes auf den Port fest, auf dem die Datenübertragung zwischen dem SSL-Dienst und dem Backend-Server erfolgt.

Um die servicebasierte transparente SSL-Beschleunigung zu konfigurieren, aktivieren Sie zunächst sowohl die SSL- als auch die Lastausgleichsfunktionen. Erstellen Sie dann einen SSL-basierten Dienst und konfigurieren Sie seinen Klartext-Port. Nachdem der Dienst erstellt wurde, erstellen und binden Sie ein Zertifikatschlüsselpaar an diesen Dienst.

Beispiel:

Aktivieren Sie SSL-Abladung und Lastausgleich.

Erstellen Sie einen SSL-basierten Dienst Service-SSL-1 mit der IP-Adresse 10.102.20.30 und Port 443 und konfigurieren Sie den Klartext-Port.

Erstellen Sie als Nächstes ein Zertifikatschlüsselpaar CertKey-1, und binden Sie es an den SSL-Dienst.

Tabelle 1. Entitäten in der servicebasierten transparenten SSL-Beschleunigung

Entität Name Wert
SSL-Dienst Service-SSL-1 102.20.30
Zertifikat - Schlüsselpaar Certkey-1 -

Virtuelle serverbasierte Beschleunigung mit einer Platzhalter-IP-Adresse (*:443)

Sie können einen virtuellen SSL-Server im Platzhaltermodus verwenden, wenn Sie die SSL-Beschleunigung für mehrere Server aktivieren möchten, die den sicheren Inhalt einer Website hosten. In diesem Modus reicht ein einzelnes digitales Zertifikat für die gesamte sichere Website statt eines Zertifikats pro virtuellen Server aus. Dies führt zu erheblichen Kosteneinsparungen bei SSL-Zertifikaten und Erneuerungen. Der Platzhalter-IP-Adressmodus ermöglicht auch die zentralisierte Zertifikatsverwaltung.

Erstellen Sie einen virtuellen Server *:443, um die globale transparente SSL-Beschleunigung auf der Citrix ADC Appliance zu konfigurieren. Dieser virtuelle Server akzeptiert jede IP-Adresse, die mit Port 443 verbunden ist. Binden Sie dann ein gültiges Zertifikat an diesen virtuellen Server und binden Sie auch alle Dienste, an die der virtuelle Server übertragen soll. Ein solcher virtueller Server kann das SSL-Protokoll für HTTP-basierte Daten oder das SSL_TCP-Protokoll für nicht HTTP-basierte Daten verwenden.

Konfigurieren der virtuellen serverbasierten Beschleunigung mit einer Platzhalter-IP-Adresse

  1. Aktivieren Sie SSL, wie unter SSL aktivieren beschrieben.
  2. Aktivieren Sie den Lastenausgleich, wie unter Lastausgleich beschrieben.
  3. Fügen Sie einen SSL-basierten virtuellen Server hinzu, und legen Sie den ClearTextPort-Parameter wie unter beschrieben festSSL-Offloadkonfiguration.
  4. Fügen Sie ein Zertifikatschlüsselpaar hinzu, wie unter beschriebenHinzufügen oder Aktualisieren eines Zertifikatschlüsselpaars.

Hinweis: Der Platzhalterserver lernt automatisch die auf der Appliance konfigurierten Server, sodass Sie keine Dienste für einen virtuellen Platzhalterserver konfigurieren müssen.

Beispiel:

Aktivieren Sie SSL-Abladung und Lastausgleich. Erstellen Sie einen virtuellen SSL-basierten Wildcard-Server mit der IP-Adresse auf * und der Portnummer 443, und konfigurieren Sie den Clear Text-Port (optional).

Wenn Sie den Klartext-Port angeben, werden entschlüsselte Daten an den Backend-Server an diesem bestimmten Port gesendet. Andernfalls werden verschlüsselte Daten an Port 443 gesendet.

Erstellen Sie als Nächstes ein SSL-Zertifikatsschlüsselpaar CertKey-1, und binden Sie es an den virtuellen SSL-Server.

Tabelle 2. Entitäten in der virtuellen Server-basierten Beschleunigung mit einer Platzhalter-IP-Adresse Beispiel

Entität Name IP-Adresse Port
SSL-basierter virtueller Server VServer-SSL-Platzhalter * 443
Zertifikat - Schlüsselpaar Certkey-1 - -

SSL-VIP-basierter transparenter Zugriff mit End-to-End-Verschlüsselung

Sie können einen virtuellen SSL-Server für transparenten Zugriff mit End-to-End-Verschlüsselung verwenden, wenn Sie keinen Klartext-Port angegeben haben. In einer solchen Konfiguration beendet und entlädt die Appliance die gesamte SSL-Verarbeitung. Anschließend initiiert es eine sichere SSL-Sitzung und sendet die verschlüsselten Daten anstelle von Klartextdaten an die Webserver auf dem Port, der auf dem virtuellen Platzhalterserver konfiguriert ist.

Hinweis: In diesem Fall wird die SSL-Beschleunigungsfunktion im Backend unter Verwendung der Standardkonfiguration ausgeführt, wobei alle 34 Chiffre verfügbar sind.

Um SSL-VIP-basierten transparenten Zugriff mit End-to-End-Verschlüsselung zu konfigurieren, befolgen Sie die Anweisungen zum Konfigurieren einer virtuellen Server-basierten Beschleunigung mit einer Wildcard-IP-Adresse (*:443), konfigurieren Sie jedoch keinen Klartext-Port auf dem virtuellen Server.