Configurer l’accélération SSL transparente

Remarque : selon votre déploiement, vous devrez peut-être activer le mode L2 sur l’appliance Citrix ADC.

L’accélération SSL transparente est utile pour exécuter plusieurs applications sur un serveur sécurisé avec la même IP publique. Il est également utile pour l’accélération SSL sans utiliser d’IP publique supplémentaire.

Dans une configuration d’accélération SSL transparente, l’appliance Citrix ADC est transparente pour le client. En effet, l’adresse IP à laquelle l’appliance reçoit les demandes est la même que l’adresse IP du serveur Web.

L’appliance Citrix ADC décharge le traitement du trafic SSL du serveur Web et envoie du texte clair ou du trafic chiffré (selon la configuration) au serveur Web. Tout autre trafic est transparent pour l’appliance et est ponté au serveur Web. Par conséquent, les autres applications exécutées sur le serveur ne sont pas affectées.

Trois modes d’accélération SSL transparente sont disponibles sur l’appliance :

  • Accès transparent basé sur le service, où le type de service peut être SSL ou SSL_TCP.
  • Accès transparent basé sur un serveur virtuel avec une adresse IP générique (*:443).
  • Accès transparent SSL VIP avec chiffrement de bout en bout.

Remarque : Un service SSL_TCP est utilisé pour les services non HTTPS (par exemple SMTPS et IMAPS).

Accélération SSL transparente basée sur le service

Pour activer l’accélération SSL transparente à l’aide du mode de service SSL, configurez un service SSL ou SSL_TCP avec l’adresse IP du serveur Web principal réel. Au lieu d’un serveur virtuel interceptant le trafic SSL et le transmettant au service, le trafic est désormais directement transmis au service. Le service déchiffre le trafic SSL et envoie des données en texte clair au serveur principal.

Le mode basé sur le service vous permet de configurer des services individuels avec un certificat différent ou avec un port de texte clair différent. En outre, vous pouvez également sélectionner des services individuels pour l’accélération SSL.

Vous pouvez appliquer une accélération SSL transparente basée sur le service aux données qui utilisent différents protocoles. Pour ce faire, définissez le port en texte clair du service SSL sur le port sur lequel le transfert de données entre le service SSL et le serveur principal se produit.

Pour configurer l’accélération SSL transparente basée sur le service, activez d’abord le SSL et les fonctions d’équilibrage de charge. Créez ensuite un service SSL et configurez son port de texte clair. Une fois le service créé, créez et liez une paire de clés de certificat à ce service.

Exemple :

Activez le déchargement SSL et l’équilibrage de charge.

Créez un service SSL basé sur SSL, Service-SSL-1 avec l’adresse IP 10.102.20.30 en utilisant le port 443 et configurez son port de texte clair.

Ensuite, créez une paire de clés de certificat, CertKey-1, et liez-la au service SSL.

Tableau 1. Entités dans l’accélération SSL transparente basée sur le service

Entité Nom Valeur
Service SSL Service-SSL-1 102.20.30
Certificat - Paire de clés Certkey-1 -

Accélération basée sur un serveur virtuel avec une adresse IP générique (*:443)

Vous pouvez utiliser un serveur virtuel SSL en mode d’adresse IP générique si vous souhaitez activer l’accélération SSL pour plusieurs serveurs qui hébergent le contenu sécurisé d’un site Web. Dans ce mode, un certificat numérique unique est suffisant pour l’ensemble du site Web sécurisé, au lieu d’un certificat par serveur virtuel. Cela se traduit par des économies importantes sur les certificats SSL et les renouvellements. Le mode d’adresse IP générique permet également une gestion centralisée des certificats.

Pour configurer l’accélération SSL transparente globale sur l’appliance Citrix ADC, créez un serveur virtuel *:443. Ce serveur virtuel accepte toute adresse IP associée au port 443. Ensuite, liez un certificat valide à ce serveur virtuel et liez également tous les services vers lesquels le serveur virtuel doit transférer. Un tel serveur virtuel peut utiliser le protocole SSL pour les données HTTP ou le protocole SSL_TCP pour les données non HTTP.

Configurer l’accélération basée sur un serveur virtuel avec une adresse IP générique

  1. Activez SSL, comme décrit à la section Activer SSL.
  2. Activez l’équilibrage de charge, comme décrit à la section Équilibrage de charge.
  3. Ajoutez un serveur virtuel SSL et définissez le paramètre ClearTextPort comme décrit dans Configuration de déchargement SSL.
  4. Ajoutez une paire de clés de certificat, comme décrit à la section Ajouter ou mettre à jour une paire de clés de certificat.

Remarque : le serveur générique apprend automatiquement les serveurs configurés sur l’appliance, vous n’avez donc pas besoin de configurer les services pour un serveur virtuel générique.

Exemple :

Activez le déchargement SSL et l’équilibrage de charge. Créez un serveur virtuel avec caractères génériques SSL avec l’adresse IP définie sur * et le numéro de port 443, et configurez son port en texte clair (facultatif).

Si vous spécifiez le port de texte clair, les données déchiffrées sont envoyées au serveur principal sur ce port particulier. Sinon, les données chiffrées sont envoyées au port 443.

Ensuite, créez une paire de clés de certificat SSL, CertKey-1, et liez-la au serveur virtuel SSL.

Tableau 2. Exemple d’entités dans l’accélération basée sur un serveur virtuel avec une adresse IP générique

Entité Nom Adresse IP Port
Serveur virtuel basé sur SSL VServer-SSL-Wildcard * 443
Certificat - Paire de clés Certkey-1 - -

Accès transparent SSL basé sur VIP avec chiffrement de bout en bout

Vous pouvez utiliser un serveur virtuel SSL pour un accès transparent avec chiffrement de bout en bout si aucun port de texte clair n’est spécifié. Dans une telle configuration, l’appliance arrête et décharge tout le traitement SSL. Ensuite, il initie une session SSL sécurisée et envoie les données chiffrées, au lieu de données en texte clair, aux serveurs Web sur le port configuré sur le serveur virtuel générique.

Remarque : Dans ce cas, la fonction d’accélération SSL s’exécute au backend, en utilisant la configuration par défaut, avec les 34 chiffrements disponibles.

Pour configurer l’accès transparent SSL VIP avec chiffrement de bout en bout, suivez les instructions pour configurer une accélération basée sur un serveur virtuel avec une adresse IP générique (*:443), mais ne configurez pas un port de texte clair sur le serveur virtuel.