Migre la configuración SSL al perfil SSL mejorado
Nota:
Los términos “predeterminado” y “mejorado” se utilizan indistintamente para el perfil SSL mejorado.
Una implementación típica tiene configurados cientos de servidores virtuales, servicios y otras entidades SSL. Cada entidad puede tener su propia configuración de SSL. Agregar o cambiar una configuración en todas las entidades puede ser un proceso engorroso. Para abordar esta necesidad y simplificar el proceso de configuración, puede usar perfiles SSL y adjuntarlos a diferentes entidades.
Un perfil SSL es un conjunto de configuraciones de parámetros SSL para entidades SSL, como servidores virtuales, servicios (incluidos los servicios internos) y grupos de servicios. Ofrece facilidad de configuración y flexibilidad porque no está limitado a configurar solo un conjunto de parámetros globales. Hay dos tipos de perfiles:
- Perfil de interfaz: se aplica a las entidades que reciben solicitudes de un cliente.
- Perfil de back-end: se aplica a las entidades que envían solicitudes de clientes al servidor de back-end.
Debe habilitar el perfil mejorado para todos los puntos finales SSL para heredar los perfiles predeterminados. El perfil predeterminado también contiene algunos parámetros nuevos que solo se pueden configurar a través del perfil. En la CLI de NetScaler, escriba:
set ssl parameter -defaultProfile ENABLED
No puedes inhabilitar un perfil. Consulte Puntos a tener en cuenta para conocer algunos puntos importantes relacionados con el perfil mejorado.
Planteamiento del problema
Al habilitar el perfil predeterminado, el perfil SSL predeterminado incorporado se enlaza automáticamente a todas las entidades SSL de interfaz y ns_default_ssl_profile_backend se enlaza a todas las entidades de SSL de servidor. El perfil incluye algunos ajustes predeterminados y, cuando habilitas el perfil predeterminado, se pierden tus ajustes personalizados. Arreglar manualmente una configuración grande puede resultar tedioso, lento y propenso a errores. Por lo tanto, los clientes dudan en migrar al perfil predeterminado.
Solución
El equipo de NetScaler ha desarrollado un script que analiza la configuración y crea perfiles personalizados en función de la configuración existente. El script comprueba la configuración de las entidades SSL y crea perfiles para los mismos ajustes. A continuación, vincula el perfil aplicable a cada entidad SSL. El perfil está disponible como un archivo ejecutable que se puede ejecutar en los sistemas operativos Linux, Windows y Mac.
El guión está disponible en https://github.com/netscaler/default-ssl-profile-script#readme.
Importante
Guarde la configuración antes de utilizar la herramienta. En la CLI de NetScaler, escriba:.
save config
Resultado
Después de ejecutar el script, los perfiles personalizados se crean con los ajustes necesarios en función de su configuración. El perfil aplicable está vinculado a las distintas entidades SSL de interfaz y servidor. Sus entidades SSL ahora tienen la misma configuración que antes de habilitar el perfil predeterminado. La diferencia es que estas configuraciones ahora forman parte del perfil SSL predeterminado. Para cambiar la configuración de varias entidades SSL, solo tiene que modificar el perfil asociado. La configuración se aplica a todas las entidades SSL a las que está asociado el perfil.