ADC

Configurer une accélération SSL transparente

Remarque : En fonction de votre déploiement, vous devrez peut-être activer le mode L2 sur l’appliance NetScaler.

L’accélération SSL transparente est utile pour exécuter plusieurs applications sur un serveur sécurisé avec la même adresse IP publique. Il est également utile pour l’accélération SSL sans utiliser d’adresse IP publique supplémentaire.

Dans une configuration d’accélération SSL transparente, l’appliance NetScaler est transparente pour le client. Elle est transparente car l’adresse IP à laquelle l’appliance reçoit les demandes est la même que l’adresse IP du serveur Web.

L’appliance NetScaler décharge le traitement du trafic SSL du serveur Web et envoie du trafic en texte clair ou crypté (selon la configuration) au serveur Web. Tout le reste du trafic est transparent pour l’appliance et est relié au serveur Web. Par conséquent, les autres applications exécutées sur le serveur ne sont pas affectées.

Trois modes d’accélération SSL transparente sont disponibles sur l’appliance :

  • Accès transparent basé sur les services, où le type de service peut être SSL ou SSL_TCP.
  • Accès transparent basé sur un serveur virtuel avec une adresse IP générique (*:443).
  • Accès transparent basé sur SSL VIP avec cryptage de bout en bout.

Remarque : Un service SSL_TCP est utilisé pour les services non HTTPS (par exemple SMTPS et IMAPS).

Accélération SSL transparente basée sur les services

Pour activer une accélération SSL transparente à l’aide du mode de service SSL, configurez un service SSL ou SSL_TCP avec l’adresse IP du serveur Web principal. Au lieu qu’un serveur virtuel intercepte le trafic SSL et le transmette au service, le trafic est désormais directement transmis au service. Le service déchiffre le trafic SSL et envoie des données en texte clair au serveur principal.

Le mode basé sur les services vous permet de configurer des services individuels avec un certificat différent ou avec un port en texte clair différent. Vous pouvez également sélectionner des services individuels pour l’accélération SSL.

Vous pouvez appliquer une accélération SSL transparente basée sur les services aux données qui utilisent différents protocoles. Pour ce faire, définissez le port en texte clair du service SSL sur le port sur lequel s’effectue le transfert de données entre le service SSL et le serveur principal.

Pour configurer l’accélération SSL transparente basée sur les services, activez d’abord les fonctionnalités SSL et d’équilibrage de charge. Créez ensuite un service SSL et configurez son port en texte clair. Une fois le service créé, créez et liez une paire de clés de certificat à ce service.

Exemple :

Activez le déchargement SSL et l’équilibrage de charge.

Créez un service basé sur SSL, Service-SSL-1 avec l’adresse IP 10.102.20.30 à l’aide du port 443 et configurez son port en texte clair.

Créez ensuite une paire de clés de certificat, CertKey-1, et liez-la au service SSL.

Tableau 1. Entités dans l’accélération SSL transparente basée sur les services

Entité Nom Valeur
Service SSL Service-SSL-1 102.20.30
Certificat - Paire de clés Certkey-1 -

Accélération basée sur un serveur virtuel avec une adresse IP générique (*:443)

Utilisez un serveur virtuel SSL en mode adresse IP générique si vous souhaitez activer l’accélération SSL pour plusieurs serveurs hébergeant le contenu sécurisé d’un site Web. Dans ce mode, un seul certificat numérique suffit pour l’ensemble du site Web sécurisé, au lieu d’un certificat par serveur virtuel. Il en résulte d’importantes économies sur les certificats SSL et les renouvellements. Le mode d’adresse IP générique permet également une gestion centralisée des certificats.

Pour configurer l’accélération SSL transparente globale sur l’appliance NetScaler, créez un serveur virtuel *:443. Ce serveur virtuel accepte toutes les adresses IP associées au port 443. Liez ensuite un certificat valide à ce serveur virtuel et liez également tous les services vers lesquels le serveur virtuel doit être transféré. Un tel serveur virtuel peut utiliser le protocole SSL pour les données basées sur HTTP ou le protocole SSL_TCP pour les données non HTTP.

Configurer l’accélération basée sur un serveur virtuel avec une adresse IP générique

  1. Activez SSL, comme décrit dans Activer SSL.
  2. Activez l’équilibrage de charge, comme décrit dans la section Équilibrage de charge.
  3. Ajoutez un serveur virtuel SSL et définissez le paramètre ClearTextPort comme décrit dans la configuration de déchargement SSL.
  4. Ajoutez une paire de clés de certificat, comme décrit dans Ajouter ou mettre à jour une paire de clés de certificat.

Remarque : le serveur générique apprend automatiquement les serveurs configurés sur l’appliance, vous n’avez donc pas besoin de configurer les services pour un serveur virtuel générique.

Exemple :

Activez le déchargement SSL et l’équilibrage de charge. Créez un serveur virtuel Wildcard basé sur SSL avec une adresse IP définie sur * et le numéro de port 443, et configurez son port en texte clair (facultatif).

Si vous spécifiez le port en texte clair, les données décryptées sont envoyées au serveur principal sur ce port particulier. Dans le cas contraire, les données cryptées sont envoyées au port 443.

Créez ensuite une paire de clés de certificat SSL, CertKey-1, et liez-la au serveur virtuel SSL.

Tableau 2 Exemple d’accélération basée sur un serveur virtuel avec une adresse IP générique pour entités

Entité Nom Adresse IP Port
Serveur virtuel basé sur SSL Vserver-SSL-Wildcard * 443
Certificat - Paire de clés Certkey-1 - -

Accès transparent basé sur l’adresse IP du serveur virtuel SSL avec chiffrement de bout en bout

Vous pouvez utiliser un serveur virtuel SSL pour un accès transparent avec chiffrement de bout en bout si aucun port en texte clair n’est spécifié. Dans une telle configuration, l’appliance met fin et décharge tous les traitements SSL. Il lance ensuite une session SSL sécurisée et envoie les données cryptées, au lieu de données en texte clair, aux serveurs Web. Il envoie ces données sur le port configuré sur le serveur virtuel Wildcard.

Remarque : Dans ce cas, la fonctionnalité d’accélération SSL s’exécute sur le back-end, en utilisant la configuration par défaut, avec les 34 chiffrements disponibles.

Pour configurer un accès transparent basé sur SSL VIP avec un chiffrement de bout en bout, suivez les instructions de configuration d’une accélération basée sur un serveur virtuel avec une adresse IP générique (*:443). Toutefois, ne configurez pas de port en texte clair sur le serveur virtuel.

Configurer une accélération SSL transparente