Konfigurieren der ADC-nCipher-Integration
Das folgende Flussdiagramm zeigt die Aufgaben, die Sie ausführen müssen, um nCipher HSM mit einem NetScaler zu verwenden:
Wie im vorherigen Flussdiagramm gezeigt, führen Sie die folgenden Aufgaben aus:
- Aktivieren Sie den Push für die Remote-Konfiguration auf dem HSM.
- Konfigurieren Sie den ADC für die Verwendung des nCipher HSM.
- Fügen Sie die NSIP-Adresse im HSM hinzu.
- Konfigurieren Sie die Zugriffsberechtigung für den ADC auf dem RFS.
- Konfigurieren Sie den automatischen Start des
Hardserver
beim Booten. - Registrieren Sie das HSM im ADC.
- Fügen Sie RFS-Details auf dem ADC hinzu.
- Synchronisieren Sie den ADC mit dem RFS.
- Stellen Sie sicher, dass nCipher HSM erfolgreich am ADC registriert ist.
- (Optional) Erstellen Sie einen HSM-RSA-Schlüssel.
- Konfigurieren Sie die Entitäten auf dem NetScaler.
- Fügen Sie den HSM-Schlüssel hinzu.
- Fügen Sie mithilfe des HSM-Schlüssels ein Zertifikatsschlüsselpaar hinzu.
- Fügen Sie einen virtuellen Server hinzu.
- Fügen Sie ein Serverobjekt hinzu.
- Fügen Sie einen Dienst hinzu.
- Binden Sie den Dienst an den virtuellen Server.
- Binden Sie das Zertifikatsschlüsselpaar an den virtuellen Server.
- Überprüfen Sie die Konfiguration.
Konfigurieren Sie das nCipher HSM
Geben Sie die IP-Adresse des RFS auf dem nCipher HSM an, damit es die Konfiguration akzeptiert, die das RFS an es sendet. Verwenden Sie das nShield Connect-Frontpanel des nCipher HSM, um das folgende Verfahren durchzuführen.
Geben Sie die IP-Adresse eines Remotecomputers auf dem nCipher HSM an
- Navigieren Sie zu Systemkonfiguration > Optionen für Konfigurationsdateien > Auto-Push zulassen.
- Wählen Sie ON aus und geben Sie die IP-Adresse des Computers (RFS) an, von dem die Konfiguration akzeptiert werden soll.
Aktivieren Sie das Pushen der Remotekonfiguration auf dem HSM
Geben Sie die IP-Adresse des RFS auf dem nCipher HSM an, damit es die Konfiguration akzeptiert, die das RFS an es sendet. Verwenden Sie das nShield Connect-Frontpanel des nCipher HSM, um das folgende Verfahren durchzuführen.
Geben Sie die IP-Adresse eines Remotecomputers auf dem nCipher HSM an
- Navigieren Sie zu Systemkonfiguration > Optionen für Konfigurationsdateien > Auto-Push zulassen.
- Wählen Sie ON aus und geben Sie die IP-Adresse des Computers (RFS) an, von dem die Konfiguration akzeptiert werden soll.
Konfigurieren Sie den ADC für die Verwendung des nCipher HSM
Beispielwerte, die in dieser Dokumentation verwendet werden:
NSIP-Adresse=10.217.2.43
nCipher HSM IP-Adresse=10.217.2.112
RFS-IP-Adresse=10.217.2.6
Fügen Sie die NSIP-Adresse auf dem HSM hinzu
In der Regel verwenden Sie die nShield Connect-Frontplatte, um Clients zum HSM hinzuzufügen. Weitere Informationen finden Sie in der nShield Connect-Kurzanleitung.
Verwenden Sie alternativ den RFS, um den ADC als Client zum HSM hinzuzufügen. Um den ADC hinzuzufügen, müssen Sie die NSIP-Adresse in der HSM-Konfiguration auf dem RFS hinzufügen und die Konfiguration dann an das HSM übertragen. Bevor Sie die Konfiguration pushen können, müssen Sie die elektronische Seriennummer (ESN) des HSM kennen.
Um die ESN Ihres HSM zu erhalten, führen Sie den folgenden Befehl auf dem RFS aus:
root@ns# /opt/nfast/bin/anonkneti <nCipher HSM IP address>
<!--NeedCopy-->
Beispiel:
root@ns# /opt/nfast/bin/anonkneti 10.217.2.112
BD17-C807-58D9 5e30a698f7bab3b2068ca90a9488dc4e6c78d822
<!--NeedCopy-->
Die ESN-Nummer lautet BD17-C807-58D9.
Nachdem Sie die ESN-Nummer erhalten haben, verwenden Sie einen Editor, z. B. vi, um die HSM-Konfigurationsdatei auf dem RFS zu bearbeiten.
vi /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->
Fügen Sie im Abschnitt hs_clients
die folgenden Einträge hinzu:
# Amount of data in bytes to encrypt with a session key before session key# renegotiation, or 0 for unlimitied. (default=1024\*1024\*8b=8Mb).
# datalimit=INT
addr=10.217.2.43
clientperm=unpriv
keyhash=0000000000000000000000000000000000000000
esn=
timelimit=86400
datalimit=8388608
-----
<!--NeedCopy-->
Hinweis: Fügen Sie einen oder mehrere Bindestriche als Trennzeichen ein, um mehrere Einträge in demselben Abschnitt hinzuzufügen.
Um die Konfiguration an das HSM zu übertragen, führen Sie den folgenden Befehl auf dem RFS aus:
/opt/nfast/bin/cfg-pushnethsm --address=<nCipher HSM IP address> --force /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->
Beispiel:
/opt/nfast/bin/cfg-pushnethsm --address=10.217.2.112 --force
/opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->
Zugriffsberechtigung für den ADC auf dem RFS konfigurieren
Um die Zugriffsberechtigung für den ADC auf dem RFS zu konfigurieren, führen Sie den folgenden Befehl auf dem RFS aus:
/opt/nfast/bin/rfs-setup --force -g --write-noauth <NetScaler IP address>
<!--NeedCopy-->
Beispiel:
[root@localhost bin]# /opt/nfast/bin/rfs-setup --force -g --write-noauth 10.217.2.43
Adding read-only remote_file_system entries
Ensuring the directory /opt/nfast/kmdata/local exists
Adding new writable remote_file_system entries
Ensuring the directory /opt/nfast/kmdata/local/sync-store exists
Saving the new config file and configuring the hardserver
Done
<!--NeedCopy-->
Stellen Sie sicher, dass der ADC über Port 9004 sowohl das RFS- als auch das nCipher HSM erreichen kann.
Konfigurieren Sie den automatischen Start des hardserver
beim Booten
Erstellen Sie eine Datei und starten Sie die Appliance neu. Wenn Sie jetzt die Appliance neu starten und diese Datei gefunden wird, Hardserver
wird der automatisch gestartet.
Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:
touch /var/opt/nfast/bin/thales_hsm_is_enrolled
<!--NeedCopy-->
Geben Sie in der Befehlszeile Folgendes ein:
reboot
<!--NeedCopy-->
HSM im ADC registrieren
Ändern Sie das Verzeichnis in /var/opt/nfast/bin.
Um HSM-Details zur ADC-Konfiguration hinzuzufügen, führen Sie den folgenden Befehl auf dem ADC aus:
nethsmenroll --force <Thales_nShield_Connect_ip_address> $(anonkneti <Thales_nShield_Connect_ip_address>)
Beispiel:
root@ns# ./nethsmenroll --force 10.217.2.112 $(anonkneti 10.217.2.112)
OK configuring hardserver's nethsm imports
<!--NeedCopy-->
In diesem Schritt werden die folgenden Einträge nach der Zeile # ntoken_esn=ESN im Abschnitt nethsm_imports
der Datei /var/opt/nfast/kmdata/config/config hinzugefügt.
…
local_module=0
remote_ip=10.217.2.112
remote_port=9004
remote_esn=BD17-C807-58D9
keyhash=5e30a698f7bab3b2068ca90a9488dc4e6c78d822
timelimit=86400
datalimit=8388608
privileged=0
privileged_use_high_port=0
ntoken_esn=
<!--NeedCopy-->
Ändern Sie das Verzeichnis in /var/opt/nfast/bin und führen Sie den folgenden Befehl auf dem ADC aus:
touch "thales_hsm_is_enrolled"
<!--NeedCopy-->
Hinweis: Um ein HSM zu entfernen, das beim ADC registriert ist, geben Sie Folgendes ein:
./nethsmenroll –-remove <NETHSM-IP>
<!--NeedCopy-->
Fügen Sie RFS-Details auf dem ADC hinzu
Um RFS-Details hinzuzufügen, ändern Sie das Verzeichnis in /var/opt/nfast/bin/ und führen Sie dann den folgenden Befehl aus:
./rfs-sync --no-authenticate --setup <rfs_ip_address>
<!--NeedCopy-->
Beispiel:
./rfs-sync --no-authenticate --setup 10.217.2.6
No current RFS synchronization configuration.
Configuration successfully written; new config details:
Using RFS at 10.217.2.6:9004: not authenticating.
<!--NeedCopy-->
In diesem Schritt werden die folgenden Einträge nach der Zeile # local_esn=ESN im Abschnitt rfs_sync_client
der Datei /var/opt/nfast/kmdata/config/config hinzugefügt.
……
remote_ip=10.217.2.6
remote_port=9004
use_kneti=no
local_esn=
<!--NeedCopy-->
Hinweis: Um ein RFS zu entfernen, das beim ADC registriert ist, geben Sie Folgendes ein:
./rfs_sync –remove
<!--NeedCopy-->
Synchronisieren Sie den ADC mit dem RFS
Um alle Dateien zu synchronisieren, ändern Sie das Verzeichnis in /var/opt/nfast/bin und führen Sie dann den folgenden Befehl auf dem ADC aus:
./rfs-sync –-update
<!--NeedCopy-->
Dieser Befehl ruft alle World-Dateien, Moduldateien und Schlüsseldateien aus dem Verzeichnis /opt/nfast/kmdata/local auf dem RFS ab und legt sie in das Verzeichnis /var/opt/nfast/kmdata/local auf dem ADC ab. Citrix empfiehlt, die World-Dateien, die Module_xx_xx_xxxx-Dateien, wobei XXXX_XXXX_XXXX der ESN des registrierten HSM ist, und nur die erforderlichen RSA-Schlüssel und Zertifikatdateien manuell zu kopieren.
Stellen Sie sicher, dass das nCipher HSM erfolgreich am ADC registriert ist
Nachdem Sie den ADC mit dem RFS synchronisiert haben, gehen Sie folgendermaßen vor:
- Stellen Sie sicher, dass das lokale
Hardserver
System in Betrieb ist und ausgeführt wird. (nCipher-Server wird ausgeführt). - Rufen Sie den Status der konfigurierten HSMs ab, und überprüfen Sie, ob die Werte für das Feld n_modules (Anzahl der Module) und die Felder km Info ungleich Null sind.
- Stellen Sie sicher, dass das HSM korrekt registriert ist und vom ADC verwendet werden kann (Status 0x2 Usable).
- Lasttests mit
sigtest
werden korrekt ausgeführt.
Ändern Sie das Verzeichnis in /var/opt/nfast/bin, und führen Sie an der Shell-Eingabeaufforderung die folgenden Befehle aus:
root@ns# ./chkserv root@ns# ./nfkminfo root@ns# ./sigtest
<!--NeedCopy-->
Ein Beispiel finden Sie in Anhang .
Erstellen eines HSM-RSA-Schlüssels
Nur RSA-Schlüssel werden als HSM-Schlüssel unterstützt.
Hinweis: Überspringen Sie diesen Schritt, wenn Schlüssel bereits im Ordner /opt/nfast/kmdata/local
auf dem RFS vorhanden sind.
Erstellen Sie einen RSA-Schlüssel, ein selbstsigniertes Zertifikat und eine CSR (Certificate Signing Request). Senden Sie die CSR an eine Zertifizierungsstelle, um ein Serverzertifikat zu erhalten.
Die folgenden Dateien werden im folgenden Beispiel erstellt:
- RSA-Schlüssel einbetten: key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
- Selbstsigniertes Zertifikat: example_selfcert
- Anforderung zur Zertifikatssignierung: example_req
Hinweis: Der Befehl generatekey
wird in der strikten FIPS 140-2 Level 3 Security World unterstützt. Ein Administratorkartensatz (ACS) oder ein Operator Card Set (OCS) wird benötigt, um viele Vorgänge zu steuern, einschließlich der Erstellung von Schlüsseln und OCS. Wenn Sie den Befehl generatekey
ausführen, werden Sie aufgefordert, eine ACS- oder OCS-Karte einzulegen. Weitere Informationen zur strikten FIPS 140-2 Level 3 Security World finden Sie im nShield Connect-Benutzerhandbuch.
Im folgenden Beispiel wird Level-2 Security World verwendet. Im Beispiel sind die Befehle fett gedruckt.
Beispiel:
[root@localhost bin]# ./generatekey embed
size: Key size? (bits, minimum 1024) [1024] > 2048
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
embedsavefile: Filename to write key to? []
> example
plainname: Key name? [] > example
x509country: Country code? [] > US
x509province: State or province? [] > CA
x509locality: City or locality? [] > Santa Clara
x509org: Organisation? [] > Citrix
x509orgunit: Organisation unit? [] > NS
x509dnscommon: Domain name? [] > www.citrix.com
x509email: Email address? [] > example@citrix.com
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
digest: Digest to sign cert req with? (md5, sha1, sha256, sha384, sha512)
[default sha1] > sha512
key generation parameters:
operation Operation to perform generate
application Application embed
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
embedsavefile Filename to write key to example
plainname Key name example
x509country Country code US
x509province State or province CA
x509locality City or locality Santa Clara
x509org Organisation Citrix
x509orgunit Organisation unit NS
x509dnscommon Domain name www.citrix.com
x509email Email address example@citrix.com
nvram Blob in NVRAM (needs ACS) no
digest Digest to sign cert req with sha512
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
You have new mail in /var/spool/mail/root
<!--NeedCopy-->
Ergebnis:
Sie haben eine CSR (example_req), ein selbstsigniertes Zertifikat (example_selfcert) und eine Anwendungsschlüssel-Tokendatei im Embed-Format (/opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78) erstellt
Da der ADC Schlüssel nur im einfachen Format unterstützt, müssen Sie den Einbettungsschlüssel in einen einfachen Schlüssel konvertieren.
Um den Einbettungsschlüssel in einen einfachen Schlüssel zu konvertieren, führen Sie den folgenden Befehl auf dem RFS aus:
[root@localhost bin]# ./generatekey -r simple
from-application: Source application? (embed, simple) [embed] > embed
from-ident: Source key identifier? (c6410ca00af7e394157518cb53b2db46ff18ce29,
2ed5428aaeae1e159bdbd63f25292c7113ec2c78)
[default c6410ca00af7e394157518cb53b2db46ff18ce29]
> 2ed5428aaeae1e159bdbd63f25292c7113ec2c78
ident: Key identifier? [] > examplersa2048key
plainname: Key name? [] > examplersa2048key
key generation parameters:
operation Operation to perform retarget
application Application simple
verify Verify security of key yes
from-application Source application embed
from-ident Source key identifier 2ed5428aaeae1e159bdbd63f25292c7113ec2c78
ident Key identifier examplersa2048key
plainname Key name examplersa2048key
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_simple_examplersa2048key
<!--NeedCopy-->
Wichtig:
Wenn Sie zur Eingabe der Quellschlüssel-ID aufgefordert werden, geben Sie 2ed5428aaeae1e159bdbd63f25292c7113ec2c78 als Einbettungsschlüssel ein.
Ergebnis:
Ein Schlüssel mit dem Präfix key_simple (zum Beispiel key_simple_examplersa2048key) wird erstellt.
Hinweis: examplersa2048key ist der Schlüsselbezeichner (Ident) und wird im ADC als HSM-Schlüsselname bezeichnet. Eine Schlüsselkennung ist eindeutig. Alle einfachen Dateien haben das Präfix key_simple.
Konfigurieren Sie die Entitäten auf dem ADC
Bevor der ADC Datenverkehr verarbeiten kann, müssen Sie Folgendes tun:
- Funktionen aktivieren.
- Fügen Sie eine Subnetz-IP-Adresse (SNIP) hinzu.
- Fügen Sie den HSM-Schlüssel zum ADC hinzu.
- Fügen Sie mithilfe des HSM-Schlüssels ein Zertifikatsschlüsselpaar hinzu.
- Fügen Sie einen virtuellen Server hinzu.
- Fügen Sie ein Serverobjekt hinzu.
- Fügen Sie einen Dienst hinzu.
- Binden Sie den Dienst an den virtuellen Server.
- Binden Sie das Zertifikatsschlüsselpaar an den virtuellen Server.
- Überprüfen Sie die Konfiguration.
Funktionen auf dem ADC aktivieren
Lizenzen müssen auf dem ADC vorhanden sein, bevor Sie eine Funktion aktivieren können.
Aktivieren einer Funktion über die CLI
Führen Sie an der Eingabeaufforderung die folgenden Befehle aus:
enable feature lb
enable feature ssl
<!--NeedCopy-->
Aktivieren Sie eine Funktion über die GUI
Navigieren Sie zu System > Einstellungen und wählen Sie in der Gruppe Modi und Funktionen die Option Grundfunktionen konfigurierenaus, und wählen Sie dann SSL-Offloadingaus.
Hinzufügen einer Subnetz-IP-Adresse
Weitere Informationen zu Subnetz-IP-Adressen finden Sie unter Konfigurieren von Subnetz-IP-Adressen.
Fügen Sie eine SNIP-Adresse hinzu und überprüfen Sie die Konfiguration mit der CLI
Führen Sie an der Eingabeaufforderung die folgenden Befehle aus:
add ns ip <IPAddress> <netmask> -type SNIP
show ns ip
<!--NeedCopy-->
Beispiel:
add ns ip 192.168.17.253 255.255.248.0 -type SNIP
Done
show ns ip
Ipaddress Traffic Domain Type Mode Arp Icmp Vserver State
--------- -------------- ---- ---- --- ---- ------- ------
1) 192.168.17.251 0 NetScaler IP Active Enabled Enabled NA Enabled
2) 192.168.17.252 0 VIP Active Enabled Enabled Enabled Enabled
3) 192.168.17.253 0 SNIP Active Enabled Enabled NA Enabled
Done
<!--NeedCopy-->
Fügen Sie eine SNIP-Adresse hinzu und überprüfen Sie die Konfiguration über die GUI
Navigieren Sie zu System > Netzwerk > IPs, fügen Sie eine IP-Adresse hinzu und wählen Sie den IP-Typ als Subnetz-IPaus.
Kopieren Sie den HSM-Schlüssel und das Zertifikat in den ADC
Verwenden Sie ein Dienstprogramm zur sicheren Dateiübertragung, um den Schlüssel (key_simple_examplersa2048key) sicher in den Ordner /var/opt/nfast/kmdata/local
und das Zertifikat (example_selfcert) in den Ordner /nsconfig/ssl
auf dem ADC zu kopieren.
Fügen Sie den Schlüssel auf dem ADC hinzu
Alle Schlüssel haben ein einfaches Schlüsselpräfix. Verwenden Sie beim Hinzufügen des Schlüssels zum ADC die Kennung als HSM-Schlüsselnamen. Wenn der Schlüssel, den Sie hinzugefügt haben, beispielsweise KEY_Simple_XXXX ist, lautet der HSM-Schlüsselname XXXX.
Wichtig:
- Der HSM-Schlüsselname muss mit der Kennung übereinstimmen, die Sie beim Konvertieren eines Einbettungsschlüssels in ein einfaches Schlüsselformat angegeben haben.
- Die Schlüssel müssen im Verzeichnis
/var/opt/nfast/kmdata/local/
auf dem ADC vorhanden sein.
Fügen Sie einen HSM-Schlüssel über die CLI hinzu
Führen Sie an der Shell-Eingabeaufforderung folgenden Befehl aus:
add ssl hsmKey <hsmKeyName> -key <string>
<!--NeedCopy-->
Beispiel:
add ssl hsmKey examplersa2048key –key key_simple_examplersa2048key
Done
<!--NeedCopy-->
Fügen Sie einen HSM-Schlüssel über die GUI hinzu
Navigieren Sie zu Traffic Management > SSL > HSMund fügen Sie einen HSM-Schlüssel hinzu.
Hinzufügen eines Zertifikatschlüsselpaars auf dem ADC
Informationen zu Zertifikatschlüsselpaaren finden Sie unter Hinzufügen oder Aktualisieren eines Zertifikatschlüsselpaares.
Hinzufügen eines Zertifikatschlüsselpaars mit der CLI
Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:
add ssl certKey <certkeyName> -cert <string> -hsmKey <string>
<!--NeedCopy-->
Beispiel:
add ssl certKey key22 -cert example_selfcert -hsmKey examplersa2048key
Done
<!--NeedCopy-->
Fügen Sie über die GUI ein Zertifikatsschlüsselpaar hinzu
Navigieren Sie zu Traffic Management > SSL > Zertifikate, und fügen Sie ein Zertifikatsschlüsselpaar hinzu.
Einen virtuellen Server hinzufügen
Informationen zu einem virtuellen Server finden Sie unter Konfiguration des virtuellen SSL-Servers.
Konfigurieren eines SSL-basierten virtuellen Servers mit der CLI
Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:
add lb vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->
Beispiel:
add lb vserver v1 SSL 192.168.17.252 443
<!--NeedCopy-->
Konfigurieren eines SSL-basierten virtuellen Servers über die GUI
Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, erstellen Sie einen virtuellen Server und geben Sie das Protokoll als SSL an.
Hinzufügen eines Serverobjekts
Bevor Sie ein Serverobjekt auf dem ADC hinzufügen können, stellen Sie sicher, dass Sie einen Backend-Server erstellt haben. Im folgenden Beispiel wird das integrierte Python-HTTP-Servermodul auf einem Linux-System verwendet.
Beispiel:
%python –m SimpleHTTPServer 80
<!--NeedCopy-->
Hinzufügen eines Serverobjekts über die CLI
Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:
add server <name> <IPAddress>
<!--NeedCopy-->
Beispiel:
add server s1 192.168.17.246
<!--NeedCopy-->
Fügen Sie ein Serverobjekt über die GUI hinzu
Navigieren Sie zu Traffic Management > Load Balancing > Serverund fügen Sie einen Server hinzu.
Dienst hinzufügen
Weitere Informationen finden Sie unter Konfigurieren von Diensten.
Konfigurieren eines Dienstes mit der CLI
Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:
add service <name> <serverName> <serviceType> <port>
<!--NeedCopy-->
Beispiel:
add service sr1 s1 HTTP 80
<!--NeedCopy-->
Konfigurieren Sie einen Dienst über die GUI
Navigieren Sie zu Traffic Management > Load Balancing > Servicesund erstellen Sie einen Dienst.
Binden Sie den Dienst an den virtuellen Server
Weitere Informationen finden Sie unter Binden von Diensten an den virtuellen SSL-Server.
Binden eines Dienstes an einen virtuellen Server mit der CLI
Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:
bind lb vserver <name> <serviceName>
<!--NeedCopy-->
Beispiel:
bind lb vserver v1 sr1
<!--NeedCopy-->
Binden Sie einen Dienst über die GUI an einen virtuellen Server
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
- Öffnen Sie einen virtuellen Server, und klicken Sie im Bereich Dienste auf, um einen Dienst an den virtuellen Server zu binden.
Binden Sie das Zertifikatschlüsselpaar an den virtuellen Server auf dem ADC
Weitere Informationen finden Sie unter Binden des Zertifikatschlüsselpaars an den virtuellen SSL-Server.
Binden Sie ein Zertifikatschlüsselpaar an einen virtuellen Server mit der CLI
Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:
bind ssl vserver <vServerName> -certkeyName <string>
<!--NeedCopy-->
Beispiel:
bind ssl vserver v1 -certkeyName key22
Warning: Current certificate replaces the previous binding
<!--NeedCopy-->
Binden Sie ein Zertifikatsschlüsselpaar über die GUI an einen virtuellen Server
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
- Öffnen Sie einen virtuellen SSL-Server und klicken Sie in Erweiterte Einstellungenauf SSL-Zertifikat.
- Binden Sie ein Serverzertifikat an den virtuellen Server.
Überprüfen Sie die Konfiguration
So zeigen Sie die Konfiguration mit der CLI an:
Führen Sie an der Eingabeaufforderung die folgenden Befehle aus:
show lb vserver <name>
show ssl vserver <vServerName>
<!--NeedCopy-->
Beispiel:
show lb vserver v1
v1 (192.168.17.252:443) - SSL Type: ADDRESS
State: UP
Last state change was at Wed Oct 29 03:11:11 2014
Time since last state change: 0 days, 00:01:25.220
Effective State: UP
Client Idle Timeout: 180 sec
Down state flush: ENABLED
Disable Primary Vserver On Down : DISABLED
Appflow logging: ENABLED
No. of Bound Services : 1 (Total) 1 (Active)
Configured Method: LEASTCONNECTION
Current Method: Round Robin, Reason: Bound service's state changed to UP
Mode: IP
Persistence: NONE
Vserver IP and Port insertion: OFF
Push: DISABLED Push VServer:
Push Multi Clients: NO
Push Label Rule: none
L2Conn: OFF
Skip Persistency: None
IcmpResponse: PASSIVE
RHIstate: PASSIVE
New Service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0
Mac mode Retain Vlan: DISABLED
DBS_LB: DISABLED
Process Local: DISABLED
Traffic Domain: 0
1) sr1 (192.168.17.246: 80) - HTTP State: UP Weight: 1
Done
<!--NeedCopy-->
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: DISABLED TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: key22 Server Certificate
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
So zeigen Sie die Konfiguration über die GUI an:
Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Serverund doppelklicken Sie auf einen virtuellen SSL-Server, um ihn zu öffnen und die Konfiguration anzuzeigen.