Configurer l’action SSL pour transférer le trafic client si un chiffrement n’est pas pris en charge sur l’ADC
Dans le message Hello du client, si vous recevez un chiffrement qui n’est pas pris en charge par l’ADC, vous pouvez configurer une action SSL pour transférer le trafic client vers un autre serveur virtuel. Si vous ne souhaitez pas décharger le protocole SSL, configurez ce serveur virtuel de type TCP ou SSL_BRIDGE. Il n’y a pas de délestage SSL sur l’ADC et ce trafic est contourné. Pour le déchargement SSL, configurez un serveur virtuel SSL en tant que serveur virtuel de transfert.
Procédez comme suit :
- Ajoutez un serveur virtuel d’équilibrage de charge de type SSL. Le trafic client est reçu sur ce serveur virtuel.
- Liez un service SSL à ce serveur virtuel.
- Ajoutez un serveur virtuel d’équilibrage de charge de type TCP. Remarque : L’adresse IP ou le numéro de port n’est pas obligatoire pour le serveur virtuel vers lequel le trafic est transféré.
- Ajoutez un service TCP avec le port 443.
- Liez ce service au serveur virtuel TCP créé précédemment.
- Ajoutez une action SSL spécifiant le serveur virtuel TCP dans le paramètre « forward ».
- Ajoutez une stratégie SSL spécifiant l’action précédente si la suite de chiffrement spécifique (identifiée par son code hexadécimal) est reçue dans le message d’accueil du client.
- Liez cette politique au serveur virtuel SSL.
- Enregistrez la configuration.
Configuration à l’aide de l’interface de ligne de commande
add service ssl-service 10.102.113.155 SSL 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
add lb vserver v2 TCP
add service tcp-service 10.102.113.150 TCP 443
bind lb vserver v2 tcp-service
add ssl action act1 -forward v2
add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
<!--NeedCopy-->
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: ENABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: sv Server Certificate
Data policy
1) Policy Name: pol2 Priority: 1
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done
sh ssl policy pol2
Name: pol2
Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f)
Action: act1
UndefAction: Use Global
Hits: 0
Undef Hits: 0
Policy is bound to following entities
1) Bound to: CLIENTHELLO_REQ VSERVER v1
Priority: 1
Done
<!--NeedCopy-->
sh ssl action act1
1) Name: act1
Type: Data Insertion
Forward to: v2
Hits: 0
Undef Hits: 0
Action Reference Count: 1
Done
<!--NeedCopy-->
sh ssl vserver v2
Advanced SSL configuration for VServer v2:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: sv Server Certificate
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
<!--NeedCopy-->
Configuration à l’aide de l’interface graphique
Créez un serveur virtuel TCP :
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels .
- Créez un serveur virtuel TCP.
- Cliquez dans la section Services et groupes de services et ajoutez un service TCP ou liez un service existant.
- Cliquez sur Bind.
- Cliquez sur Continuer.
Créez un serveur virtuel SSL :
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels .
- Créez un autre serveur virtuel SSL.
- Cliquez dans la section Services et groupes de services et ajoutez un nouveau service SSL ou liez un service existant.
- Cliquez sur Bind.
- Cliquez sur Continuer.
- Cliquez dans la section Certificat et liez un certificat de serveur.
- Cliquez sur Continuer.
- Dans Paramètres avancés, cliquez sur Stratégies SSL.
- Cliquez dans la section Stratégie SSL pour ajouter ou sélectionner une politique existante.
- Dans Policy Binding, cliquez sur Ajouter et attribuez un nom à la stratégie.
- Dans Action, cliquez sur Ajouter.
- Spécifiez un nom pour l’action SSL. Dans Forward Action Virtual Server, sélectionnez le serveur virtuel TCP créé précédemment.
- Cliquez sur Créer.
- Spécifiez CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (code hexadécimal du chiffrement non pris en charge) dans l’expression .
- Cliquez sur Terminé.
- Dans la politique, configurez une expression pour évaluer le trafic pour le chiffrement non pris en charge.
- Liez l’action à la politique et la politique au serveur virtuel SSL. Spécifiez le point de liaison CLIENTHELLO_REQ.
- Cliquez sur Terminé.
Configurer l’action SSL pour transférer le trafic client si un chiffrement n’est pas pris en charge sur l’ADC
Copié !
Échec !