Configurer l’accélération SSL transparente
Remarque : selon votre déploiement, vous devrez peut-être activer le mode L2 sur l’appliance Citrix ADC.
L’accélération SSL transparente est utile pour exécuter plusieurs applications sur un serveur sécurisé avec la même IP publique. Il est également utile pour l’accélération SSL sans utiliser d’IP publique supplémentaire.
Dans une configuration d’accélération SSL transparente, l’appliance Citrix ADC est transparente pour le client. Elle est transparente car l’adresse IP à laquelle l’appliance reçoit les demandes est la même que l’adresse IP du serveur Web.
L’appliance Citrix ADC décharge le traitement du trafic SSL du serveur Web et envoie du texte clair ou du trafic chiffré (selon la configuration) au serveur Web. Tout autre trafic est transparent pour l’appliance et est ponté au serveur Web. Par conséquent, les autres applications exécutées sur le serveur ne sont pas affectées.
Trois modes d’accélération SSL transparente sont disponibles sur l’appliance :
- Accès transparent basé sur le service, où le type de service peut être SSL ou SSL_TCP.
- Accès transparent basé sur un serveur virtuel avec une adresse IP générique (*:443).
- Accès transparent SSL VIP avec chiffrement de bout en bout.
Remarque : Un service SSL_TCP est utilisé pour les services non HTTPS (par exemple SMTPS et IMAPS).
Accélération SSL transparente basée sur le service
Pour activer l’accélération SSL transparente à l’aide du mode de service SSL, configurez un service SSL ou SSL_TCP avec l’adresse IP du serveur Web principal réel. Au lieu d’un serveur virtuel interceptant le trafic SSL et le transmettant au service, le trafic est désormais directement transmis au service. Le service déchiffre le trafic SSL et envoie des données en texte clair au serveur principal.
Le mode basé sur le service vous permet de configurer des services individuels avec un certificat différent ou avec un port de texte clair différent. En outre, vous pouvez également sélectionner des services individuels pour l’accélération SSL.
Vous pouvez appliquer une accélération SSL transparente basée sur le service aux données qui utilisent différents protocoles. Pour ce faire, définissez le port de texte clair du service SSL sur le port sur lequel se produit le transfert de données entre le service SSL et le serveur back-end.
Pour configurer l’accélération SSL transparente basée sur le service, activez d’abord le SSL et les fonctions d’équilibrage de charge. Créez ensuite un service SSL et configurez son port de texte clair. Une fois le service créé, créez et liez une paire de clés de certificat à ce service.
Exemple :
Activez le déchargement SSL et l’équilibrage de charge.
Créez un service SSL basé sur SSL, Service-SSL-1 avec l’adresse IP 10.102.20.30 en utilisant le port 443 et configurez son port de texte clair.
Ensuite, créez une paire de clés de certificat, CertKey-1, et liez-la au service SSL.
Tableau 1. Entités dans l’accélération SSL transparente basée sur le service
| Entité | Nom | Valeur |
|---|---|---|
| Service SSL | Service-SSL-1 | 102.20.30 |
| Certificat - Paire de clés | Certkey-1 | - |
Accélération basée sur un serveur virtuel avec une adresse IP générique (*:443)
Utilisez un serveur virtuel SSL en mode adresse IP générique si vous souhaitez activer l’accélération SSL pour plusieurs serveurs qui hébergent le contenu sécurisé d’un site Web. Dans ce mode, un certificat unique numérique suffit pour l’ensemble du site Web sécurisé, au lieu d’un certificat par serveur virtuel. Il en résulte des économies importantes sur les certificats SSL et les renouvellements. Le mode d’adresse IP générique permet également une gestion centralisée des certificats.
Pour configurer l’accélération SSL transparente globale sur l’appliance Citrix ADC, créez un serveur virtuel *:443. Ce serveur virtuel accepte toute adresse IP associée au port 443. Ensuite, liez un certificat valide à ce serveur virtuel et liez également tous les services vers lesquels le serveur virtuel doit transférer. Un tel serveur virtuel peut utiliser le protocole SSL pour les données HTTP ou le protocole SSL_TCP pour les données non HTTP.
Configurer l’accélération basée sur un serveur virtuel avec une adresse IP générique
- Activez SSL, comme décrit dans Activer SSL.
- Activez l’équilibrage de charge, comme décrit dans la section Équilibrage de charge.
- Ajoutez un serveur virtuel SSL et définissez le paramètre ClearTextPort comme décrit dans la configuration de déchargement SSL.
- Ajoutez une paire de clés de certificat, comme décrit dans Ajouter ou mettre à jour une paire de clés de certificat.
Remarque : le serveur générique apprend automatiquement les serveurs configurés sur l’appliance, vous n’avez donc pas besoin de configurer les services pour un serveur virtuel générique.
Exemple :
Activez le déchargement SSL et l’équilibrage de charge. Créez un serveur virtuel avec caractères génériques SSL avec l’adresse IP définie sur * et le numéro de port 443, et configurez son port en texte clair (facultatif).
Si vous spécifiez le port de texte clair, les données déchiffrées sont envoyées au serveur principal sur ce port particulier. Sinon, les données chiffrées sont envoyées au port 443.
Ensuite, créez une paire de clés de certificat SSL, CertKey-1, et liez-la au serveur virtuel SSL.
Tableau 2. Exemple d’entités dans l’accélération basée sur un serveur virtuel avec une adresse IP générique
| Entité | Nom | Adresse IP | Port |
|---|---|---|---|
| Serveur virtuel basé sur SSL | Vserver-SSL-Wildcard |
* | 443 |
| Certificat - Paire de clés | Certkey-1 | - | - |
Accès transparent basé sur l’adresse IP du serveur virtuel SSL avec chiffrement de bout en bout
Vous pouvez utiliser un serveur virtuel SSL pour un accès transparent avec chiffrement de bout en bout si aucun port de texte clair n’est spécifié. Dans une telle configuration, l’appliance se termine et décharge tout le traitement SSL. Ensuite, il lance une session SSL sécurisée et envoie les données chiffrées, au lieu de données en texte clair, aux serveurs Web. Il envoie ces données sur le port configuré sur le serveur virtuel générique.
Remarque : Dans ce cas, la fonction d’accélération SSL s’exécute sur le back-end, en utilisant la configuration par défaut, avec les 34 chiffrements disponibles.
Pour configurer l’accès transparent SSL VIP avec un chiffrement de bout en bout, suivez les instructions pour Configuration d’une accélération basée sur un serveur virtuel avec une adresse IP générique (*:443). Mais ne configurez pas un port de texte clair sur le serveur virtuel.