Configurer l’action SSL pour transférer le trafic client si un chiffrement n’est pas pris en charge sur ADC

Remarque : Cette fonctionnalité est disponible dans la version 12.1 build 49.x et versions ultérieures.

Dans le message client Hello, si vous recevez un chiffrement qui n’est pas pris en charge sur ADC, vous pouvez configurer une action SSL pour transférer le trafic client vers un autre serveur virtuel. Si vous ne voulez pas de déchargement SSL, configurez ce serveur virtuel de type TCP ou SSL_BRIDGE. Il n’y a pas de déchargement SSL sur ADC et ce trafic est contourné. Pour le déchargement SSL, configurez un serveur virtuel SSL en tant que serveur virtuel de transfert.

Procédez comme suit :

  1. Ajoutez un serveur virtuel d’équilibrage de charge de type SSL. Le trafic client est reçu sur ce serveur virtuel.
  2. Liez un service SSL à ce serveur virtuel.
  3. Ajoutez un serveur virtuel d’équilibrage de charge de type TCP. Remarque : l’adresse IP ou le numéro de port n’est pas obligatoire pour le serveur virtuel vers lequel le trafic est transféré.
  4. Ajoutez un service TCP avec le port 443.
  5. Liez ce service au serveur virtuel TCP créé précédemment.
  6. Ajoutez une action SSL spécifiant le serveur virtuel TCP dans le paramètre ‘forward’.
  7. Ajoutez une stratégie SSL spécifiant l’action ci-dessus si la suite de chiffrement spécifique (identifiée par son code hexadécimal) est reçue dans le message client Hello.
  8. Liez cette stratégie au serveur virtuel SSL.
  9. Enregistrez la configuration.

Configuration à l’aide de l’interface de ligne de commande

add service ssl-service 10.102.113.155 SSL 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
add lb vserver v2 TCP
add service tcp-service 10.102.113.150 TCP 443
bind lb vserver v2 tcp-service
add ssl action act1 -forward v2
add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
sh ssl vserver v1

    Advanced SSL configuration for VServer v1:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120 seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: ENABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate


    Data policy
1)  Policy Name: pol2   Priority: 1



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit
 Done
sh ssl policy pol2
    Name: pol2
    Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f)
    Action: act1
    UndefAction: Use Global
    Hits: 0
    Undef Hits: 0


    Policy is bound to following entities
1)  Bound to: CLIENTHELLO_REQ VSERVER v1
    Priority: 1

 Done
sh ssl action act1
1)  Name: act1
    Type: Data Insertion
    Forward to: v2
    Hits: 0
    Undef Hits: 0
    Action Reference Count: 1
 Done
sh ssl vserver v2

    Advanced SSL configuration for VServer v2:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120    seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit

Configuration à l’aide de l’interface graphique

Créez un serveur virtuel TCP :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Créez un serveur virtuel TCP.
  3. Cliquez dans la section Services et groupes de services et ajoutez un service TCP ou liez un service existant.
  4. Cliquez sur Bind.
  5. Cliquez sur Continue.

Créez un serveur virtuel SSL :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Créez un autre serveur virtuel SSL.
  3. Cliquez dans la section Services et groupes de services et ajoutez un nouveau service SSL ou liez un service existant.
  4. Cliquez sur Bind.
  5. Cliquez sur Continue.
  6. Cliquez dans la section Certificat et liez un certificat de serveur.
  7. Cliquez sur Continue.
  8. Dans Paramètres avancés, cliquez sur Stratégies SSL.
  9. Cliquez dans la section Stratégie SSL pour ajouter ou sélectionner une stratégie existante.
  10. Dans Liaison de stratégie, cliquez sur Ajouteret spécifiez un nom pour la stratégie.
  11. Dans Action, cliquez sur Ajouter.
  12. Spécifiez un nom pour l’action SSL. Dans Serveur virtuel Actionde transfert, sélectionnez le serveur virtuel TCP créé précédemment.
  13. Cliquez sur Créer.
  14. Spécifiez CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (code hexadécimal du chiffrement non pris en charge) dans l’expression.
  15. Cliquez sur Terminé.
  16. Dans la stratégie, configurez une expression pour évaluer le trafic pour le chiffrement non pris en charge.
  17. Liez l’action à la stratégie et la stratégie au serveur virtuel SSL. Spécifiez le point de liaison CLIENTHELLO_REQ.
  18. Cliquez sur Terminé.

Configurer l’action SSL pour transférer le trafic client si un chiffrement n’est pas pris en charge sur ADC