ADC

Sicherer Lastausgleichsverkehr durch Verwendung von SSL

Die NetScaler SSL-Offload-Funktion verbessert transparent die Leistung von Websites, die SSL-Transaktionen durchführen. Durch die Übertragung von CPU-intensiven SSL-Verschlüsselungs- und Entschlüsselungsaufgaben vom lokalen Webserver auf die Appliance gewährleistet die SSL-Abladung die sichere Bereitstellung von Webanwendungen ohne die Leistungseinbußen, die bei der Verarbeitung der SSL-Daten durch den Server entstehen. Sobald der SSL-Verkehr entschlüsselt wurde, kann er von allen Standarddiensten verarbeitet werden. Das SSL-Protokoll arbeitet nahtlos mit verschiedenen Arten von HTTP- und TCP-Daten zusammen und bietet einen sicheren Kanal für Transaktionen, die solche Daten verwenden.

Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Dann konfigurieren Sie HTTP- oder TCP-Dienste und einen virtuellen SSL-Server auf der Appliance und binden die Dienste an den virtuellen Server. Sie müssen auch ein Zertifikatschlüsselpaar hinzufügen und an den virtuellen SSL-Server binden. Wenn Sie Outlook Web Access-Server verwenden, müssen Sie eine Aktion erstellen, um die SSL-Unterstützung zu aktivieren, und eine Richtlinie zum Anwenden der Aktion. Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mithilfe eines ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet dann die entschlüsselten Daten zur entsprechenden Verarbeitung an die anderen Entitäten auf der Appliance weiter.

Ausführliche Informationen zum SSL-Offloading finden Sie unter SSL-Offload und Beschleunigung.

SSL-Konfigurations-Tasksequenz

Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Dann müssen Sie einen virtuellen SSL-Server und HTTP- oder TCP-Dienste auf der NetScaler-Appliance erstellen. Schließlich müssen Sie ein gültiges SSL-Zertifikat und die konfigurierten Dienste an den virtuellen SSL-Server binden.

Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mithilfe eines ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet die entschlüsselten Daten dann zur entsprechenden Verarbeitung an die anderen Entitäten auf der NetScaler-Appliance weiter.

Das folgende Flussdiagramm zeigt die Reihenfolge der Aufgaben zum Konfigurieren eines grundlegenden SSL-Offload-Setups.

Abbildung 1. Abfolge von Aufgaben zum Konfigurieren von SSL-Ladung

SSL-Flussdiagramm

SSL-Offload aktivieren

Aktivieren Sie zuerst die SSL-Funktion. Sie können SSL-basierte Entitäten auf der Appliance konfigurieren, ohne die SSL-Funktion zu aktivieren, aber sie funktionieren erst, wenn Sie SSL aktivieren.

Aktivieren Sie SSL über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um SSL-Offload zu aktivieren und die Konfiguration zu überprüfen:

-  enable ns feature SSL
-  show ns feature
<!--NeedCopy-->

Beispiel:

> enable ns feature ssl

Done


> show ns feature


Feature Acronym Status


------- ------- ------


1) Web Logging WL ON


2) SurgeProtection SP OFF


3) Load Balancing LB ON . . .


 9) SSL Offloading SSL ON


10) Global Server Load Balancing GSLB ON . .


Done >
<!--NeedCopy-->

Aktivieren Sie SSL über die GUI

Führen Sie die folgenden Schritte aus:

  1. Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Einstellungen.
  2. Klicken Sie im Detailbereich unter Modi und Funktionenauf Grundfunktionen ändern.
  3. Aktivieren Sie das Kontrollkästchen SSL-Ladung, und klicken Sie dann auf OK.
  4. In den Funktion (en) aktivieren/deaktivieren? klicken Sie auf Ja.

Erstellen von HTTP-Diensten

Ein Dienst auf der Appliance repräsentiert eine Anwendung auf einem Server. Nach der Konfiguration befinden sich die Dienste im Status Deaktiviert, bis die Appliance den Server im Netzwerk erreichen und seinen Status überwachen kann. In diesem Thema werden die Schritte zum Erstellen eines HTTP-Dienstes behandelt.

Hinweis: Führen Sie für TCP-Verkehr die folgenden Verfahren aus, erstellen Sie jedoch TCP-Dienste anstelle von HTTP-Diensten.

Fügen Sie über die CLI einen HTTP-Dienst hinzu

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen HTTP-Dienst hinzuzufügen und die Konfiguration zu überprüfen:

-  add service <name> (<IP> | <serverName>) <serviceType> <port>
-  show service <name>
<!--NeedCopy-->

Beispiel:

> add service SVC_HTTP1 10.102.29.18 HTTP 80


 Done


> show service SVC_HTTP1


        SVC_HTTP1 (10.102.29.18:80) - HTTP


        State: UP


        Last state change was at Wed Jul 15 06:13:05 2009


        Time since last state change: 0 days, 00:00:15.350


        Server Name: 10.102.29.18


        Server ID : 0   Monitor Threshold : 0


        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits


        Use Source IP: NO


        Client Keepalive(CKA): NO


        Access Down Service: NO


        TCP Buffering(TCPB): NO


        HTTP Compression(CMP): YES


        Idle timeout: Client: 180 sec   Server: 360 sec


        Client IP: DISABLED


        Cacheable: NO


        SC: OFF


        SP: OFF


        Down state flush: ENABLED





1)      Monitor Name: tcp-default


                State: UP       Weight: 1


                Probes: 4       Failed [Total: 0 Current: 0]


                Last response: Success - TCP syn+ack received.


                Response Time: N/A


 Done
<!--NeedCopy-->

Fügen Sie über die GUI einen HTTP-Dienst hinzu

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL Offload > Dienste.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Dienst erstellen den Namen des Dienstes, die IP-Adresse und den Port ein (z. B. SVC_HTTP1, 10.102.29.18 und 80).
  4. Wählen Sie in der Liste Protokoll den Typ des Dienstes aus (z. B. HTTP).
  5. Klicken Sie auf Erstellenund dann auf Schließen. Der von Ihnen konfigurierte HTTP-Dienst wird auf der Seite Dienste angezeigt.
  6. Stellen Sie sicher, dass die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den Dienst auswählen und den Abschnitt Details unten im Bereich anzeigen.

Fügen Sie einen SSL-basierten virtuellen Server hinzu

In einem einfachen SSL-Offloading-Setup fängt der virtuelle SSL-Server verschlüsselten Datenverkehr ab, entschlüsselt ihn und sendet die Klartextnachrichten an die Dienste, die an den virtuellen Server gebunden sind. Durch das Ausladen der CPU-intensiven SSL-Verarbeitung auf die Appliance können die Back-End-Server eine größere Anzahl von Anfragen verarbeiten.

Fügen Sie über die CLI einen SSL-basierten virtuellen Server hinzu

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen SSL-basierten virtuellen Server zu erstellen und die Konfiguration zu überprüfen:

-  add lb vserver <name> <serviceType> [<IPAddress> <port>]
-  show lb vserver <name>
<!--NeedCopy-->

Vorsicht: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.

Beispiel:

> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443
  Done


  > show lb vserver vserver-SSL-1


  vserver-SSL-1 (10.102.29.50:443) - SSL Type: ADDRESS


  State: DOWN[Certkey not bound] Last state change was at Tue Jun 16 06:33:08 2009 (+176 ms)


  Time since last state change: 0 days, 00:03:44.120


  Effective State: DOWN Client Idle Timeout: 180 sec


  Down state flush: ENABLED


  Disable Primary Vserver On Down : DISABLED


  No. of Bound Services : 0 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP


  Persistence: NONE


  Vserver IP and Port insertion: OFF


  Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule: Done
<!--NeedCopy-->

Fügen Sie über die GUI einen SSL-basierten virtuellen Server hinzu

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Virtuellen Server erstellen (SSL-Offload) den Namen des virtuellen Servers, die IP-Adresse und den Port ein.
  4. Wählen Sie in der Liste Protokoll den Typ des virtuellen Servers aus, z. B.
  5. Klicken Sie auf Erstellenund dann auf Schließen.
  6. Stellen Sie sicher, dass die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den virtuellen Server auswählen und den Abschnitt Details unten im Bereich anzeigen. Der virtuelle Server ist als DOWN gekennzeichnet, da ein Zertifikatschlüsselpaar und Dienste nicht an ihn gebunden waren.

Vorsicht: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.

Binden Sie Dienste an den virtuellen SSL-Server

Nach dem Entschlüsseln der eingehenden Daten leitet der virtuelle SSL-Server die Daten an die Dienste weiter, die Sie an den virtuellen Server gebunden haben.

Die Datenübertragung zwischen der Appliance und den Servern kann verschlüsselt oder im Klartext erfolgen. Wenn die Datenübertragung zwischen der Appliance und den Servern verschlüsselt ist, ist die gesamte Transaktion von Ende zu Ende sicher. Weitere Informationen zum Konfigurieren des Systems für End-to-End-Sicherheit finden Sie unter SSL-Offload and Acceleration.

Binden eines Dienstes an einen virtuellen Server mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Dienst an den virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:

-  bind lb vserver <name> <serviceName>
-  show lb vserver <name>
<!--NeedCopy-->

Beispiel:

> bind lb vserver vserver-SSL-1 SVC_HTTP1




  Done


  > show lb vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) - SSL Type:


  ADDRESS State: DOWN[Certkey not bound]


  Last state change was at Tue Jun 16 06:33:08 2009 (+174 ms)


  Time since last state change: 0 days, 00:31:53.70


  Effective State: DOWN Client Idle


  Timeout: 180 sec


  Down state flush: ENABLED Disable Primary Vserver On Down :


  DISABLED No. of Bound Services : 1 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP and


  Port insertion: OFF Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule:





  1) SVC_HTTP1 (10.102.29.18: 80) - HTTP


  State: DOWN Weight: 1


  Done
<!--NeedCopy-->

Binden Sie einen Dienst über die GUI an einen virtuellen Server

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
  2. Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
  3. Aktivieren Sie auf der Registerkarte Dienste in der Spalte Aktiv die Kontrollkästchen neben den Diensten, die Sie an den ausgewählten virtuellen Server binden möchten.
  4. Klicken Sie auf OK.
  5. Stellen Sie sicher, dass der Zähler Anzahl gebundener Dienste im Abschnitt Details am unteren Rand des Bereichs um die Anzahl der Dienste erhöht wird, die Sie an den virtuellen Server gebunden haben.

Fügen Sie ein Zertifikatschlüsselpaar hinzu

Ein SSL-Zertifikat ist ein integraler Bestandteil des SSL Key-Exchange- und Verschlüsselungs-/Entschlüsselungsprozesses. Das Zertifikat wird während eines SSL-Handshakes verwendet, um die Identität des SSL-Servers festzustellen. Sie können ein gültiges, vorhandenes SSL-Zertifikat verwenden, das Sie auf der NetScaler-Appliance haben, oder Sie können ein eigenes SSL-Zertifikat erstellen. Die Appliance unterstützt RSA-Zertifikate mit bis zu 4096 Bit.

ECDSA-Zertifikate mit nur den folgenden Kurven werden unterstützt:

  • prime256v1 (P_256 im ADC)
  • secp384r1 (P_384 im ADC)
  • secp521r1 (P_521 im ADC; nur auf VPX unterstützt)
  • secp224r1 (P_224 im ADC; nur auf VPX unterstützt)

Hinweis: Citrix empfiehlt, dass Sie ein gültiges SSL-Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Ungültige Zertifikate und selbst erstellte Zertifikate sind nicht mit allen SSL-Clients kompatibel.

Bevor ein Zertifikat für die SSL-Verarbeitung verwendet werden kann, müssen Sie es mit dem entsprechenden Schlüssel koppeln. Das Zertifikatschlüsselpaar wird dann an den virtuellen Server gebunden und für die SSL-Verarbeitung verwendet.

Hinzufügen eines Zertifikatsschlüsselpaars über die CLI

Hinweis: Informationen zum Erstellen eines ECDSA-Zertifikatschlüsselpaars finden Sie unter Erstellen eines ECDSA-Zertifikatschlüsselpaars.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Zertifikatschlüsselpaar zu erstellen und die Konfiguration zu überprüfen:

-  add ssl certKey <certkeyName> -cert <string> [-key <string>]
-  show sslcertkey <name>
<!--NeedCopy-->

Beispiel:

> add ssl certKey CertKey-SSL-1 -cert ns-root.cert -key ns-root.key

 Done


> show sslcertkey CertKey-SSL-1


   Name: CertKey-SSL-1 Status: Valid,


   Days to expiration:4811 Version: 3


   Serial Number: 00 Signature Algorithm: md5WithRSAEncryption Issuer: C=US,ST=California,L=San


   Jose,O=Citrix ANG,OU=NS Internal,CN=de fault


   Validity Not Before: Oct 6 06:52:07 2006 GMT Not After : Aug 17 21:26:47 2022 GMT


   Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault Public Key


   Algorithm: rsaEncryption Public Key


   size: 1024


 Done
<!--NeedCopy-->

Fügen Sie über die GUI ein Zertifikatschlüsselpaar hinzu

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld Zertifikat installieren im Textfeld Name des Zertifikatschlüsselpaars einen Namen für das Zertifikatschlüsselpaar ein, das Sie hinzufügen möchten, z. B. CertKey-SSL-1.
  4. Klicken Sie unter Detailsunter Certificate File Name auf Durchsuchen (Appliance), um das Zertifikat zu suchen. Sowohl das Zertifikat als auch der Schlüssel werden im Ordner /nsconfig/ssl/ auf der Appliance gespeichert. Um ein auf dem lokalen System vorhandenes Zertifikat zu verwenden, wählen Sie Lokal aus.
  5. Wählen Sie das Zertifikat aus, das Sie verwenden möchten, und klicken Sie dann auf Auswählen.
  6. Klicken Sie unter Private Key File Name auf Durchsuchen (Appliance), um die Datei mit dem privaten Schlüssel zu suchen. Um einen privaten Schlüssel auf dem lokalen System zu verwenden, wählen Sie Lokal aus.
  7. Wählen Sie den Schlüssel aus, den Sie verwenden möchten, und klicken Sie auf Auswählen. Um den im Zertifikatschlüsselpaar verwendeten Schlüssel zu verschlüsseln, geben Sie das für die Verschlüsselung zu verwendende Kennwort in das Textfeld Kennwort ein.
  8. Klicken Sie auf Installieren.
  9. Doppelklicken Sie auf das Zertifikatschlüsselpaar und überprüfen Sie im Fenster Zertifikatsdetails, ob die Parameter korrekt konfiguriert und gespeichert wurden.

Binden Sie ein SSL-Zertifikatschlüsselpaar an den virtuellen Server

Nachdem Sie ein SSL-Zertifikat mit dem entsprechenden Schlüssel gekoppelt haben, binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server, damit es für die SSL-Verarbeitung verwendet werden kann. Sichere Sitzungen erfordern das Herstellen einer Verbindung zwischen dem Clientcomputer und einem SSL-basierten virtuellen Server auf der Appliance. Die SSL-Verarbeitung wird dann für den eingehenden Datenverkehr auf dem virtuellen Server durchgeführt. Bevor Sie den virtuellen SSL-Server auf der Appliance aktivieren, müssen Sie daher ein gültiges SSL-Zertifikat an den virtuellen SSL-Server binden.

Binden Sie ein SSL-Zertifikatschlüsselpaar über die CLI an einen virtuellen Server

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein SSL-Zertifikatschlüsselpaar an einen virtuellen Server zu binden und die Konfiguration zu überprüfen:

-  bind ssl vserver <vServerName> -certkeyName <string>
-  show ssl vserver <name>
<!--NeedCopy-->

Beispiel:

> bind ssl vserver Vserver-SSL-1 -certkeyName CertKey-SSL-1

Done


> show ssl vserver Vserver-SSL-1





     Advanced SSL configuration for VServer Vserver-SSL-1:


     DH: DISABLED


     Ephemeral RSA: ENABLED Refresh Count: 0


     Session Reuse: ENABLED Timeout: 120 seconds


     Cipher Redirect: ENABLED


     SSLv2 Redirect: ENABLED


     ClearText Port: 0


     Client Auth: DISABLED


     SSL Redirect: DISABLED


     Non FIPS Ciphers: DISABLED


     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED





1) CertKey Name: CertKey-SSL-1 Server Certificate


1) Cipher Name: DEFAULT


   Description: Predefined Cipher Alias


Done
<!--NeedCopy-->

Binden Sie ein SSL-Zertifikatschlüsselpaar über die GUI an einen virtuellen Server

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
  2. Wählen Sie den virtuellen Server aus, an den Sie das Zertifikatschlüsselpaar binden möchten, z. B. vServer-SSL-1, und klicken Sie auf Öffnen.
  3. Wählen Sie im Dialogfeld Virtuellen Server konfigurieren (SSL-Offload) auf der Registerkarte SSL-Einstellungen unter Verfügbardas Zertifikatschlüsselpaar aus, das Sie an den virtuellen Server binden möchten. Klicken Sie dann auf Hinzufügen.
  4. Klicken Sie auf OK.
  5. Stellen Sie sicher, dass das von Ihnen ausgewählte Zertifikatschlüsselpaar im Bereich Konfiguriert angezeigt wird.

Konfigurieren der Unterstützung für Outlook Web Access

Wenn Sie Outlook Web Access (OWA) -Server auf Ihrer NetScaler-Appliance verwenden, müssen Sie die Appliance so konfigurieren, dass ein spezielles Header-Feld, FRONT-END-HTTPS: ON, in HTTP-Anforderungen an die OWA-Server eingefügt wird, damit die Server https:// anstelle von URL-Links generieren http://.

Hinweis: Sie können die OWA-Unterstützung nur für HTTP-basierte virtuelle SSL-Server und -Dienste aktivieren. Sie können es nicht für TCP-basierte virtuelle SSL-Server und -Dienste anwenden.

Gehen Sie wie folgt vor, um die OWA-Unterstützung zu konfigurieren:

  • Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung zu aktivieren.
  • Erstellen Sie eine SSL-Richtlinie.
  • Binden Sie die Richtlinie an den virtuellen SSL-Server.

Erstellen Sie eine SSL-Aktion, um OWA-Unterstützung zu aktivieren

Bevor Sie die Unterstützung von Outlook Web Access (OWA) aktivieren können, müssen Sie eine SSL-Aktion erstellen. SSL-Aktionen sind an SSL-Richtlinien gebunden und werden ausgelöst, wenn eingehende Daten der in der Richtlinie angegebenen Regel entsprechen.

Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung über die CLI zu aktivieren

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Aktion zu erstellen, um die OWA-Unterstützung zu aktivieren und die Konfiguration zu überprüfen:

-  add ssl action <name> -OWASupport ENABLED
-  show SSL action <name>
<!--NeedCopy-->

Beispiel:

    > add ssl action Action-SSL-OWA -OWASupport enabled




    Done


    > show SSL action Action-SSL-OWA


    Name: Action-SSL-OWA


    Data Insertion Action: OWA


    Support: ENABLED


    Done
<!--NeedCopy-->

Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung über die GUI zu aktivieren

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL > Richtlinien.
  2. Klicken Sie im Detailbereich auf der Registerkarte Aktionen auf Hinzufügen.
  3. Geben Sie im Dialogfeld SSL-Aktion erstellen im Textfeld Name Action-SSL-OWA ein.
  4. Wählen Sie unter Outlook Web Access die Option Aktiviert.
  5. Klicken Sie auf Erstellenund dann auf Schließen.
  6. Stellen Sie sicher, dass Action-SSL-OWA auf der Seite SSL-Aktionen angezeigt wird.

Erstellen von SSL-Richtlinien

SSL-Richtlinien werden mithilfe der Richtlinieninfrastruktur erstellt. An jede SSL-Richtlinie ist eine SSL-Aktion gebunden, und die Aktion wird ausgeführt, wenn eingehender Datenverkehr mit der in der Richtlinie konfigurierten Regel übereinstimmt.

Erstellen einer SSL-Richtlinie über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie zu konfigurieren und die Konfiguration zu überprüfen:

-  add ssl policy <name> -rule <expression> -reqAction <string>
-  show ssl policy <name>
<!--NeedCopy-->

Beispiel:

> add ssl policy-SSL-1 -rule ns_true -reqaction Action-SSL-OWA

Done

> show ssl policy-SSL-1

Name: Policy-SSL-1 Rule: ns_true

Action: Action-SSL-OWA Hits: 0

Policy is bound to following entities

1) PRIORITY : 0

Done
<!--NeedCopy-->

Erstellen einer SSL-Richtlinie über die GUI

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL > Richtlinien.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Dialogfeld SSL-Richtlinie erstellen im Textfeld Name den Namen der SSL-Richtlinie ein (z. B. Policy-SSL-1).
  4. Wählen Sie unter der Aktion Request die konfigurierte SSL-Aktion aus, die Sie dieser Richtlinie zuordnen möchten (z. B. Action-SSL-OWA). Der allgemeine Ausdruck ns_true wendet die Richtlinie auf den gesamten erfolgreichen SSL-Handshake-Verkehr an. Um bestimmte Antworten zu filtern, können Sie jedoch Richtlinien mit einer höheren Detailgenauigkeit erstellen. Weitere Informationen zum Konfigurieren granularer Richtlinienausdrücke finden Sie unter SSL-Aktionen und Richtlinien.
  5. Wählen Sie in Benannte Ausdrückeden integrierten allgemeinen Ausdruck ns_true aus und klicken Sie auf Ausdruck hinzufügen. Der Ausdruck ns_true wird jetzt im Textfeld Ausdruck angezeigt.
  6. Klicken Sie auf Erstellenund dann auf Schließen.
  7. Stellen Sie sicher, dass die Richtlinie korrekt konfiguriert ist, indem Sie die Richtlinie auswählen und den Abschnitt Details unten im Bereich anzeigen.

Binden Sie die SSL-Richtlinie an den virtuellen SSL-Server

Nachdem Sie eine SSL-Richtlinie für Outlook Web Access konfiguriert haben, binden Sie die Richtlinie an einen virtuellen Server, der eingehenden Outlook-Datenverkehr abfängt. Wenn die eingehenden Daten mit einer der in der SSL-Richtlinie konfigurierten Regeln übereinstimmen, wird die Richtlinie ausgelöst und die damit verbundene Aktion wird ausgeführt.

Binden Sie eine SSL-Richtlinie über die CLI an einen virtuellen SSL-Server

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie an einen virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:

-  bind ssl vserver <vServerName> -policyName <string>
-  show ssl vserver <name>
<!--NeedCopy-->

Beispiel:

> bind ssl vserver Vserver-SSL-1 -policyName Policy-SSL-1

 Done

> show ssl vserver Vserver-SSL-1

Advanced SSL configuration for VServer Vserver-SSL-1:

DH: DISABLED

Ephemeral RSA: ENABLED

Refresh Count: 0

Session Reuse: ENABLED

Timeout: 120 seconds

Cipher Redirect: ENABLED

SSLv2 Redirect: ENABLED

ClearText Port: 0

Client Auth: DISABLED

SSL Redirect: DISABLED

Non FIPS Ciphers: DISABLED

SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED

1) CertKey Name: CertKey-SSL-1 Server Certificate

1) Policy Name: Policy-SSL-1 Priority: 0

1) Cipher Name: DEFAULT Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

Binden Sie eine SSL-Richtlinie über die GUI an einen virtuellen SSL-Server

Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server aus (z. B. vServer-SSL-1), und klicken Sie dann auf Öffnen.
  3. Klicken Sie im Dialogfeld Virtuellen Server konfigurieren (SSL-Offload) auf Richtlinie einfügen, und wählen Sie dann die Richtlinie aus, die Sie an den virtuellen SSL-Server binden möchten. Optional können Sie auf das Feld Priorität doppelklicken und eine neue Prioritätsstufe eingeben.
  4. Klicken Sie auf OK.