Migrer la configuration SSL vers le profil SSL amélioré
Remarque :
Les termes « par défaut » et « amélioré » sont utilisés de manière interchangeable pour le profil SSL amélioré.
Un déploiement classique comprend des centaines de serveurs virtuels, de services et d’autres entités SSL configurés. Chaque entité peut avoir ses propres paramètres SSL. L’ajout ou la modification d’un paramètre sur toutes les entités peut s’avérer fastidieux. Pour répondre à ce besoin et simplifier le processus de configuration, vous pouvez utiliser des profils SSL et les associer à différentes entités.
Un profil SSL est un ensemble de paramètres SSL pour les entités SSL, telles que les serveurs virtuels, les services (y compris les services internes) et les groupes de services. Il est facile à configurer et flexible, car vous n’êtes pas limité à la configuration d’un seul ensemble de paramètres globaux. Il existe deux types de profils :
- Profil frontal : s’applique aux entités qui reçoivent des demandes d’un client.
- Profil principal : s’applique aux entités qui envoient des demandes client au serveur principal.
Vous devez activer le profil amélioré pour tous les points de terminaison SSL afin d’hériter des profils par défaut. Le profil par défaut contient également de nouveaux paramètres qui ne peuvent être configurés que par le biais du profil. Dans l’interface de ligne de commande NetScaler, tapez :
set ssl parameter -defaultProfile ENABLED
Vous ne pouvez pas désactiver un profil. Consultez la section Points à noter pour certains points importants liés au profil amélioré.
Énoncé du problème
Lorsque vous activez le profil par défaut, le profil SSL par défaut intégré est automatiquement lié à toutes les entités SSL frontales et à toutes les entités SSL dorsales. ns_default_ssl_profile_backend Le profil est fourni avec certains paramètres par défaut et lorsque vous activez le profil par défaut, vos paramètres personnalisés sont perdus. La correction manuelle d’une grande configuration peut s’avérer fastidieuse, chronophage et source d’erreurs. Par conséquent, les clients hésitent à migrer vers le profil par défaut.
Solution
L’équipe NetScaler a développé un script qui analyse votre configuration et crée des profils personnalisés en fonction de vos paramètres existants. Le script vérifie la configuration de vos entités SSL et crée des profils pour les mêmes paramètres. Ensuite, il lie le profil applicable à chaque entité SSL. Le profil est disponible sous forme de fichier exécutable pouvant être exécuté sur les systèmes d’exploitation Linux, Windows et Mac.
Le script est disponible à l’adresse https://github.com/netscaler/default-ssl-profile-script#readme.
Important
Enregistrez la configuration avant d’utiliser l’outil. Dans l’interface de ligne de commande NetScaler, tapez :.
save config
Résultat
Après avoir exécuté le script, les profils personnalisés sont créés avec les paramètres requis en fonction de votre configuration. Le profil applicable est lié aux différentes entités SSL frontales et dorsales. Vos entités SSL ont désormais les mêmes paramètres qu’avant l’activation du profil par défaut. La différence est que ces paramètres font désormais partie du profil SSL par défaut. Pour modifier les paramètres de plusieurs entités SSL, il suffit de modifier le profil associé. Les paramètres sont appliqués à toutes les entités SSL auxquelles le profil est attaché.