Configurer le déchargement SSL avec chiffrement de bout en bout

Une installation de déchargement SSL simple met fin au trafic SSL (HTTPS), déchiffre les enregistrements SSL et transfère le trafic en texte clair (HTTP) aux serveurs Web back-end. Toutefois, le trafic de texte clair est susceptible d’être usurpé, lu, volé ou compromis par des individus qui réussissent à accéder aux périphériques réseau back-end ou aux serveurs Web.

Vous pouvez donc configurer le déchargement SSL avec une sécurité de bout en bout en cryptant les données en texte clair et en utilisant des sessions SSL sécurisées pour communiquer avec les serveurs Web back-end.

En outre, vous pouvez configurer les transactions SSL back-end de sorte que l’appliance Citrix ADC utilise le multiplexage de session SSL pour réutiliser les sessions SSL existantes avec les serveurs Web back-end, évitant ainsi les opérations d’échange de clés à forte intensité de processeur (handshake complet). Cela réduit le nombre total de sessions SSL sur le serveur et accélère donc la transaction SSL tout en maintenant la sécurité de bout en bout.

Pour configurer le déchargement SSL avec le chiffrement de bout en bout, ajoutez des services SSL qui représentent des serveurs sécurisés avec lesquels l’appliance Citrix ADC effectuera le chiffrement de bout en bout. Créez ensuite un serveur virtuel SSL et créez et liez une paire de clés de certificat valide au serveur virtuel. Liez les services SSL au serveur virtuel pour terminer la configuration.

Pour configurer un déploiement de chiffrement de bout en bout, effectuez les opérations suivantes :

  • Créer des services SSL
  • Créer un serveur virtuel SSL
  • Ajouter une paire de clés de certificat
  • Lier la paire de clés de certificat au serveur virtuel SSL
  • Liez les services au serveur virtuel SSL

Pour plus d’informations sur l’ajout de services, de serveurs virtuels et de paires de clés de certificat, reportez-vous à la section Configuration de déchargement SSL.

Les exemples de valeurs utilisées dans la configuration sont répertoriés dans le tableau

Entité

Nom

Adresse IP

Port

Service SSL

service-ssl-1

198.51.100.5

443

Service SSL

service-ssl-2

198.51.100.10

443

Serveur virtuel SSL

vserver-ssl

203.0.113.5

443

Paire de clés de certificat SSL

certkey-1

Exemple :

add service service-ssl-1 198.51.100.5 SSL 443

add service service-ssl-2 198.51.100.10 SSL 443

add lb vserver vserver-ssl SSL 203.0.113.5 443

add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky

bind ssl vserver vserver-ssl -certkeyName certkey-1

bind lb vserver vserver-ssl service-ssl-1

bind lb vserver vserver-ssl service-ssl-2

Configurer le déchargement SSL avec chiffrement de bout en bout