Citrix ADC

SSL-Offloading mit End-to-End-Verschlüsselung konfigurieren

Ein einfaches SSL-Offloading-Setup beendet SSL-Datenverkehr (HTTPS), entschlüsselt die SSL-Datensätze und leitet den HTTP-Datenverkehr (Clear Text) an die Back-End-Webserver weiter. Klartextverkehr ist anfällig dafür, von Personen gefälscht, gelesen, gestohlen oder kompromittiert zu werden, denen es gelingt, Zugriff auf die Back-End-Netzwerkgeräte oder Webserver zu erhalten.

Sie können daher SSL-Abladung mit End-to-End-Sicherheit konfigurieren, indem Sie die Klartextdaten erneut verschlüsseln und sichere SSL-Sitzungen verwenden, um mit den Back-End-Webservern zu kommunizieren.

Konfigurieren Sie die Back-End-SSL-Transaktionen so, dass die Appliance SSL-Sitzungsmultiplexing verwendet, um vorhandene SSL-Sitzungen mit den Back-End-Webservern wiederzuverwenden. Es hilft bei der Vermeidung von CPU-intensiven Schlüsselaustauschvorgängen (Full Handshake) und reduziert auch die Gesamtzahl der SSL-Sitzungen auf dem Server. Infolgedessen beschleunigt es die SSL-Transaktion bei gleichzeitiger Aufrechterhaltung der End-to-End-Sicherheit.

So konfigurieren Sie eine End-to-End-Verschlüsselungsbereitstellung:

  • Erstellen von SSL-Diensten
  • Erstellen eines virtuellen SSL-Servers
  • Hinzufügen eines Zertifikatschlüsselpaars
  • Binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server
  • Binden Sie die Dienste an den virtuellen SSL-Server

Hinweise zum Hinzufügen von Diensten, virtuellen Servern und Zertifikatschlüsselpaaren finden Sie unterSSL-Offloadkonfiguration.

Beispielwerte, die in der Konfiguration verwendet werden, sind in der Tabelle

Entität Name IP-Adresse Port
SSL-Dienst service-ssl-1 198.51.100.5 443
SSL-Dienst service-ssl-2 198.51.100.10 443
Virtueller SSL-Server vserver-ssl 203.0.113.5 443
SSL-Zertifikatschlüsselpaar certkey-1 Nicht verfügbar Nicht verfügbar

Beispiel:

add service service-ssl-1 198.51.100.5 SSL 443

add service service-ssl-2 198.51.100.10 SSL 443

add lb vserver vserver-ssl SSL 203.0.113.5 443

add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky

bind ssl vserver vserver-ssl -certkeyName certkey-1

bind lb vserver vserver-ssl service-ssl-1

bind lb vserver vserver-ssl service-ssl-2

Konfigurieren Sie SSL-Abladung mit Ende-zu-Ende-Verschlüsselung mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services > Hinzufügen.
  2. Fügen Sie zwei Dienste hinzu: service-ssl-1 und service-ssl-2.
  3. Navigieren Sie zu Traffic Management > SSL > Zertifikate > Installieren.
  4. Fügen Sie ein Zertifikatschlüsselpaar hinzu: certkey-1.
  5. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server > Hinzufügen.
  6. Fügen Sie einen virtuellen Server hinzu: vserver-ssl.
  7. Klicken Sie auf OK.
  8. Klicken Sie in Load Balancing Virtual Server Service-Bindung.
  9. Klicken Sie unter Dienst auswählenauf den Pfeil.
  10. Wählen Sie im Dialogfeld Dienstservice-ssl-1 und aus service-ssl-2.
  11. Klicken Sie auf Auswählen.
  12. Klicken Sie auf Bind.
  13. Klicken Sie auf Weiter.
  14. Klicken Sie im Abschnitt Certificate auf Serverzertifikat.
  15. Klicken Sie unter Serverzertifikat auswählenauf den Pfeil.
  16. Klicken Sie im Dialogfeld “ Serverzertifikate “ auf certkey-1.
  17. Klicken Sie auf Auswählen.
  18. Klicken Sie auf Bind.
  19. Klicken Sie auf Weiter.
  20. Klicken Sie auf Fertig.

SSL-Abladung mit Ende-zu-Ende-Verschlüsselung

SSL-Offloading mit End-to-End-Verschlüsselung konfigurieren