Configurar aceleración SSL transparente

Nota: Dependiendo de la implementación, es posible que deba habilitar el modo L2 en el dispositivo Citrix ADC.

La aceleración SSL transparente es útil para ejecutar varias aplicaciones en un servidor seguro con la misma IP pública. También es útil para la aceleración SSL sin usar una IP pública adicional.

En una configuración de aceleración SSL transparente, el dispositivo Citrix ADC es transparente para el cliente. Esto se debe a que la dirección IP en la que el dispositivo recibe las solicitudes es la misma que la dirección IP del servidor web.

El dispositivo Citrix ADC descarga el procesamiento del tráfico SSL del servidor web y envía texto sin cifrar o tráfico cifrado (dependiendo de la configuración) al servidor web. El resto del tráfico es transparente para el dispositivo y está conectado en puente al servidor web. Por lo tanto, otras aplicaciones que se ejecutan en el servidor no se ven afectadas.

Hay tres modos de aceleración SSL transparente disponibles en el dispositivo:

  • Acceso transparente basado en servicios, donde el tipo de servicio puede ser SSL o SSL_TCP.
  • Acceso transparente basado en servidor virtual con una dirección IP comodín (*:443).
  • Acceso transparente basado en SSL VIP con cifrado de extremo a extremo.

Nota: Se utiliza un servicio SSL_TCP para servicios que no son HTTPS (por ejemplo, SMTPS e IMAPS).

Aceleración SSL transparente basada en servicios

Para habilitar la aceleración SSL transparente mediante el modo de servicio SSL, configure un servicio SSL o SSL_TCP con la dirección IP del servidor web back-end real. En lugar de que un servidor virtual intercepte tráfico SSL y lo transfiera al servicio, el tráfico ahora se transfiere directamente al servicio. El servicio descifra el tráfico SSL y envía datos de texto sin cifrar al servidor back-end.

El modo basado en servicios le permite configurar servicios individuales con un certificado diferente o con un puerto de texto sin cifrar diferente. Además, también puede seleccionar servicios individuales para la aceleración SSL.

Puede aplicar la aceleración SSL transparente basada en servicios a los datos que utilizan protocolos diferentes. Para ello, establezca el puerto de texto claro del servicio SSL en el puerto en el que se produce la transferencia de datos entre el servicio SSL y el servidor back-end.

Para configurar la aceleración SSL transparente basada en servicios, primero habilite las funciones SSL y de equilibrio de carga. A continuación, cree un servicio basado en SSL y configure su puerto de texto claro. Una vez creado el servicio, cree y vincule un par de certificados y claves a este servicio.

Ejemplo:

Habilite la descarga SSL y el equilibrio de carga.

Cree un servicio basado en SSL, Service-SSL-1 con la dirección IP 10.102.20.30 mediante el puerto 443 y configure su puerto de texto claro.

A continuación, cree un par de claves de certificado, CertKey-1, y vincularlo al servicio SSL.

Tabla 1. Entidades en la Aceleración SSL transparente basada en servicios

Entidad Nombre Valor
Servicio SSL Service-SSL-1 102.20.30
Certificado: Par de claves Certkey-1 -

Aceleración basada en servidor virtual con una dirección IP comodín (*:443)

Puede utilizar un servidor virtual SSL en el modo de dirección IP comodín si desea habilitar la aceleración SSL para varios servidores que alojan el contenido seguro de un sitio web. En este modo, un certificado digital único es suficiente para todo el sitio web seguro, en lugar de un certificado por servidor virtual. Esto se traduce en importantes ahorros de costes en certificados SSL y renovaciones. El modo de dirección IP comodín también permite la administración centralizada de certificados.

Para configurar la aceleración SSL transparente global en el dispositivo Citrix ADC, cree un servidor virtual *:443. Este servidor virtual acepta cualquier dirección IP asociada con el puerto 443. A continuación, vincule un certificado válido a este servidor virtual y también vincule todos los servicios a los que el servidor virtual va a transferir. Este servidor virtual puede utilizar el protocolo SSL para datos basados en HTTP o el protocolo SSL_TCP para datos no basados en HTTP.

Configurar la aceleración basada en servidor virtual con una dirección IP comodín

  1. Habilite SSL, como se describe en Habilitar SSL.
  2. Habilite el equilibrio de carga, como se describe en Equilibrio de carga.
  3. Agregue un servidor virtual basado en SSL y establezca el parámetro clearTextPort como se describe en Configuración de descarga SSL.
  4. Agregue un par de claves de certificado, como se describe en Agregar o actualizar un par de claves de certificado.

Nota: El servidor comodín aprende automáticamente los servidores configurados en el dispositivo, por lo que no es necesario configurar servicios para un servidor virtual comodín.

Ejemplo:

Habilite la descarga SSL y el equilibrio de carga. Cree un servidor virtual de comodín basado en SSL con la dirección IP establecida en * y el número de puerto 443, y configure su puerto de texto claro (opcional).

Si especifica el puerto de texto sin cifrar, los datos descifrados se envían al servidor back-end de ese puerto concreto. De lo contrario, los datos cifrados se envían al puerto 443.

A continuación, cree un par de claves de certificado SSL, CertKey-1, y vincularlo al servidor virtual SSL.

Tabla 2. Ejemplo de Entidades en la Aceleración basada en servidor virtual con una dirección IP comodín

Entidad Nombre Dirección IP Puerto
Servidor virtual basado en SSL VServer-SSL-comodín * 443
Certificado: Par de claves Certkey-1 - -

Acceso transparente basado en SSL vip-con cifrado de extremo a extremo

Puede utilizar un servidor virtual SSL para un acceso transparente con cifrado de extremo a extremo si no tiene ningún puerto de texto claro especificado. En tal configuración, el dispositivo finaliza y descarga todo el procesamiento SSL. A continuación, inicia una sesión SSL segura y envía los datos cifrados, en lugar de datos de texto claro, a los servidores web del puerto configurado en el servidor virtual comodín.

Nota: En este caso, la función de aceleración SSL se ejecuta en el backend, mediante la configuración predeterminada, con los 34 cifrados disponibles.

Para configurar el acceso transparente basado en SSL VIP con cifrado de extremo a extremo, siga las instrucciones para Configurar una aceleración basada en servidor virtual con una dirección IP comodín (*:443), pero no configure un puerto de texto claro en el servidor virtual.