Configurer l’intégration ADC-nCipher
L’organigramme suivant décrit les tâches que vous devez effectuer pour utiliser nCipher HSM avec un NetScaler :
Comme indiqué dans l’organigramme précédent, vous effectuez les tâches suivantes :
- Activez la commande push de configuration à distance sur le HSM.
- Configurez l’ADC pour utiliser le nCipher HSM.
- Ajoutez l’adresse NSIP sur le HSM.
- Configurez l’autorisation d’accès pour l’ADC sur le RFS.
- Configurez le démarrage automatique du
Hardserver
au démarrage. - Inscrivez le HSM sur l’ADC.
- Ajoutez des détails RFS sur l’ADC.
- Synchronisez ADC avec le RFS.
- Vérifiez que nCipher HSM est correctement inscrit sur l’ADC.
- (Facultatif) Créez une clé HSM RSA.
- Configurez les entités sur NetScaler.
- Ajoutez la clé HSM.
- Ajoutez une paire de clés de certificat à l’aide de la clé HSM.
- Ajoutez un serveur virtuel.
- Ajoutez un objet serveur.
- Ajoutez un service.
- Liez le service au serveur virtuel.
- Liez la paire de clés de certificat au serveur virtuel.
- Vérifiez la configuration.
Configurer le HSM nCipher
Spécifiez l’adresse IP du RFS sur le HSM nCipher afin qu’il accepte la configuration que le RFS lui envoie. Utilisez le panneau avant de nShield Connect sur le nCipher HSM pour effectuer la procédure suivante.
Spécifiez l’adresse IP d’un ordinateur distant sur le nCipher HSM
- Accédez à Configuration du système > Options du fichier de configuration > Autoriser le push automatique.
- Sélectionnez ONet spécifiez l’adresse IP de l’ordinateur (RFS) à partir duquel accepter la configuration.
Activer la poussée de la configuration distante sur le HSM
Spécifiez l’adresse IP du RFS sur le HSM nCipher afin qu’il accepte la configuration que le RFS lui envoie. Utilisez le panneau avant de nShield Connect sur le nCipher HSM pour effectuer la procédure suivante.
Spécifiez l’adresse IP d’un ordinateur distant sur le nCipher HSM
- Accédez à Configuration système > Options du fichier de configuration > Autoriser la poussée automatique.
- Sélectionnez ONet spécifiez l’adresse IP de l’ordinateur (RFS) à partir duquel accepter la configuration.
Configurer l’ADC pour utiliser le nCipher HSM
Exemples de valeurs utilisées dans cette documentation :
Adresse NSIP=10.217.2.43
Adresse IP HSM nCipher = 10.217.2.112
Adresse IP RFS = 10.217.2.6
Ajoutez l’adresse NSIP sur le HSM
Vous utilisez généralement le panneau frontal de nShield Connect pour ajouter des clients au HSM. Pour plus d’informations, consultez le Guide de démarrage rapide de nShield Connect.
Vous pouvez également utiliser le RFS pour ajouter l’ADC en tant que client au HSM. Pour ajouter l’ADC, vous devez ajouter l’adresse NSIP dans la configuration HSM sur le RFS, puis transmettre la configuration au HSM. Avant de pouvoir valider la configuration, vous devez connaître le numéro de série électronique (ESN) du HSM.
Pour obtenir l’ESN de votre HSM, exécutez la commande suivante sur le RFS :
root@ns# /opt/nfast/bin/anonkneti <nCipher HSM IP address>
<!--NeedCopy-->
Exemple :
root@ns# /opt/nfast/bin/anonkneti 10.217.2.112
BD17-C807-58D9 5e30a698f7bab3b2068ca90a9488dc4e6c78d822
<!--NeedCopy-->
Le numéro ESN est BD17-C807-58D9.
Une fois que vous avez obtenu le numéro ESN, utilisez un éditeur, tel que vi, pour modifier le fichier de configuration HSM sur le RFS.
vi /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->
Dans la hs_clients
section, ajoutez les entrées suivantes :
# Amount of data in bytes to encrypt with a session key before session key# renegotiation, or 0 for unlimitied. (default=1024\*1024\*8b=8Mb).
# datalimit=INT
addr=10.217.2.43
clientperm=unpriv
keyhash=0000000000000000000000000000000000000000
esn=
timelimit=86400
datalimit=8388608
-----
<!--NeedCopy-->
Remarque : incluez un ou plusieurs traits d’union comme séparateurs pour ajouter plusieurs entrées dans la même section.
Pour transmettre la configuration au HSM, exécutez la commande suivante sur le RFS :
/opt/nfast/bin/cfg-pushnethsm --address=<nCipher HSM IP address> --force /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->
Exemple :
/opt/nfast/bin/cfg-pushnethsm --address=10.217.2.112 --force
/opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->
Configurer l’autorisation d’accès pour l’ADC sur le RFS
Pour configurer l’autorisation d’accès pour l’ADC sur le RFS, exécutez la commande suivante sur le RFS :
/opt/nfast/bin/rfs-setup --force -g --write-noauth <NetScaler IP address>
<!--NeedCopy-->
Exemple :
[root@localhost bin]# /opt/nfast/bin/rfs-setup --force -g --write-noauth 10.217.2.43
Adding read-only remote_file_system entries
Ensuring the directory /opt/nfast/kmdata/local exists
Adding new writable remote_file_system entries
Ensuring the directory /opt/nfast/kmdata/local/sync-store exists
Saving the new config file and configuring the hardserver
Done
<!--NeedCopy-->
Vérifiez que l’ADC peut atteindre à la fois le RFS et le HSM nCipher à l’aide du port 9004.
Configurer le démarrage automatique hardserver
de l’
Créez un fichier, puis redémarrez l’appliance. Désormais, chaque fois que vous redémarrez l’appliance, et si ce fichier est trouvé, elle démarre automatiquement. Hardserver
À l’invite shell, tapez :
touch /var/opt/nfast/bin/thales_hsm_is_enrolled
<!--NeedCopy-->
À l’invite de commande, tapez :
reboot
<!--NeedCopy-->
Inscrivez le HSM sur l’ADC
Changez de répertoire en /var/opt/nfast/bin.
Pour ajouter les détails du HSM à la configuration de l’ADC, exécutez la commande suivante sur l’ADC :
nethsmenroll --force <Thales_nShield_Connect_ip_address> $(anonkneti <Thales_nShield_Connect_ip_address>)
Exemple :
root@ns# ./nethsmenroll --force 10.217.2.112 $(anonkneti 10.217.2.112)
OK configuring hardserver's nethsm imports
<!--NeedCopy-->
Cette étape ajoute les entrées suivantes après la ligne # ntoken_esn=ESN dans la nethsm_imports
section du fichier /var/opt/nfast/kmdata/config/config.
…
local_module=0
remote_ip=10.217.2.112
remote_port=9004
remote_esn=BD17-C807-58D9
keyhash=5e30a698f7bab3b2068ca90a9488dc4e6c78d822
timelimit=86400
datalimit=8388608
privileged=0
privileged_use_high_port=0
ntoken_esn=
<!--NeedCopy-->
Changez le répertoire en /var/opt/nfast/bin et exécutez la commande suivante sur l’ADC :
touch "thales_hsm_is_enrolled"
<!--NeedCopy-->
Remarque : Pour supprimer un HSM inscrit sur l’ADC, tapez :
./nethsmenroll –-remove <NETHSM-IP>
<!--NeedCopy-->
Ajouter des détails RFS sur l’ADC
Pour ajouter des détails RFS, remplacez le répertoire par /var/opt/nfast/bin/, puis exécutez la commande suivante :
./rfs-sync --no-authenticate --setup <rfs_ip_address>
<!--NeedCopy-->
Exemple :
./rfs-sync --no-authenticate --setup 10.217.2.6
No current RFS synchronization configuration.
Configuration successfully written; new config details:
Using RFS at 10.217.2.6:9004: not authenticating.
<!--NeedCopy-->
Cette étape ajoute les entrées suivantes après la ligne # Local_ESN=ESN dans la rfs_sync_client
section du fichier /var/opt/nfast/kmdata/config/config.
……
remote_ip=10.217.2.6
remote_port=9004
use_kneti=no
local_esn=
<!--NeedCopy-->
Remarque : Pour supprimer un RFS inscrit sur l’ADC, tapez :
./rfs_sync –remove
<!--NeedCopy-->
Synchronisez l’ADC avec le RFS
Pour synchroniser tous les fichiers, remplacez le répertoire par /var/opt/nfast/bin, puis exécutez la commande suivante sur l’ADC :
./rfs-sync –-update
<!--NeedCopy-->
Cette commande extrait tous les fichiers World, les fichiers de module et les fichiers clés du répertoire /opt/nfast/kmdata/local du RFS et les place dans le répertoire /var/opt/nfast/kmdata/local de l’ADC. Citrix vous recommande de copier manuellement les fichiers World, les fichiers Module_xxxx_xxxx, où XXXX_XXXX correspond à l’ESN du HSM inscrit, et uniquement les fichiers de clé et de certificat RSA requis.
Vérifiez que le nCipher HSM est correctement inscrit sur l’ADC
Après avoir synchronisé ADC avec le RFS, procédez comme suit :
- Vérifiez que le local
Hardserver
est opérationnel. (serveur nCipher en cours d’exécution). - Obtenez l’état des HSM configurés et vérifiez que les valeurs du champ n_modules (nombre de modules) et des champs d’informations km ne sont pas nulles.
- Vérifiez que le HSM est correctement inscrit et qu’il est utilisable (état 0x2 Utilisable) par l’ADC.
- Chargez les tests en utilisant
sigtest
run properly.
Modifiez le répertoire en /var/opt/nfast/bin, et à l’invite shell, exécutez les commandes suivantes :
root@ns# ./chkserv root@ns# ./nfkminfo root@ns# ./sigtest
<!--NeedCopy-->
Voir l’annexe pour un exemple.
Créer une clé HSM RSA
Seules les clés RSA sont prises en charge en tant que clés HSM.
Remarque : Ignorez cette étape si les clés sont déjà présentes dans le /opt/nfast/kmdata/local
dossier du RFS.
Créez une clé RSA, un certificat auto-signé et une demande de signature de certificat (CSR). Envoyez le CSR à une autorité de certification pour obtenir un certificat de serveur.
Les fichiers suivants sont créés dans l’exemple suivant :
- Intégrer la clé RSA : key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
- Certificat auto-signé : example_selfcert
- Demande de signature de certificat : example_req
Remarque : La generatekey
commande est prise en charge dans le cadre strict de la norme FIPS 140-2 de niveau 3 Security World. Un jeu de cartes d’administrateur (ACS) ou un jeu de cartes d’opérateur (OCS) est nécessaire pour contrôler de nombreuses opérations, y compris la création de clés et d’OCS. Lorsque vous exécutez la generatekey
commande, vous êtes invité à insérer une carte ACS ou OCS. Pour plus d’informations sur le monde de sécurité strict selon la norme FIPS 140-2 niveau 3, consultez le guide de l’utilisateur de nShield Connect.
L’exemple suivant utilise Level-2 Security World. Dans l’exemple, les commandes sont en gras.
Exemple :
[root@localhost bin]# ./generatekey embed
size: Key size? (bits, minimum 1024) [1024] > 2048
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
embedsavefile: Filename to write key to? []
> example
plainname: Key name? [] > example
x509country: Country code? [] > US
x509province: State or province? [] > CA
x509locality: City or locality? [] > Santa Clara
x509org: Organisation? [] > Citrix
x509orgunit: Organisation unit? [] > NS
x509dnscommon: Domain name? [] > www.citrix.com
x509email: Email address? [] > example@citrix.com
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
digest: Digest to sign cert req with? (md5, sha1, sha256, sha384, sha512)
[default sha1] > sha512
key generation parameters:
operation Operation to perform generate
application Application embed
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
embedsavefile Filename to write key to example
plainname Key name example
x509country Country code US
x509province State or province CA
x509locality City or locality Santa Clara
x509org Organisation Citrix
x509orgunit Organisation unit NS
x509dnscommon Domain name www.citrix.com
x509email Email address example@citrix.com
nvram Blob in NVRAM (needs ACS) no
digest Digest to sign cert req with sha512
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
You have new mail in /var/spool/mail/root
<!--NeedCopy-->
Résultat :
Vous avez créé un CSR (example_req), un certificat auto-signé (example_selfcert) et un fichier de jeton clé d’application au format embed (/opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78)
Comme l’ADC ne prend en charge que les clés au format simple, vous devez convertir la clé incorporée en clé simple.
Pour convertir la clé d’intégration en une clé simple, exécutez la commande suivante sur le RFS :
[root@localhost bin]# ./generatekey -r simple
from-application: Source application? (embed, simple) [embed] > embed
from-ident: Source key identifier? (c6410ca00af7e394157518cb53b2db46ff18ce29,
2ed5428aaeae1e159bdbd63f25292c7113ec2c78)
[default c6410ca00af7e394157518cb53b2db46ff18ce29]
> 2ed5428aaeae1e159bdbd63f25292c7113ec2c78
ident: Key identifier? [] > examplersa2048key
plainname: Key name? [] > examplersa2048key
key generation parameters:
operation Operation to perform retarget
application Application simple
verify Verify security of key yes
from-application Source application embed
from-ident Source key identifier 2ed5428aaeae1e159bdbd63f25292c7113ec2c78
ident Key identifier examplersa2048key
plainname Key name examplersa2048key
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_simple_examplersa2048key
<!--NeedCopy-->
Important :
Lorsque vous êtes invité à saisir l’identifiant de la clé source, entrez 2ed5428aaeae1e159bdbd63f25292c7113ec2c78 comme clé d’intégration.
Résultat :
Une clé avec le préfixe key_simple (par exemple key_simple_examplersa2048key) est créée.
Remarque : examplersa2048key est l’identifiant de clé (ident) et est appelé nom de clé HSM sur l’ADC. Un identifiant clé est unique. Tous les fichiers simples ont le préfixe key_simple.
Configurer les entités sur l’ADC
Avant que ADC puisse traiter le trafic, vous devez effectuer les opérations suivantes :
- Activez les fonctionnalités.
- Ajoutez une adresse IP de sous-réseau (SNIP).
- Ajoutez la clé HSM à l’ADC.
- Ajoutez une paire de clés de certificat à l’aide de la clé HSM.
- Ajoutez un serveur virtuel.
- Ajoutez un objet serveur.
- Ajoutez un service.
- Liez le service au serveur virtuel.
- Liez la paire de clés de certificat au serveur virtuel.
- Vérifiez la configuration.
Activer les fonctionnalités de l’ADC
Les licences doivent être présentes sur l’ADC pour que vous puissiez activer une fonctionnalité.
Activer une fonctionnalité à l’aide de la CLI
À l’invite de commandes, exécutez les commandes suivantes :
enable feature lb
enable feature ssl
<!--NeedCopy-->
Activer une fonctionnalité à l’aide de l’interface graphique
Accédez à Système > Paramètres et, dans le groupe Modes et fonctionnalités, sélectionnez Configurer les fonctionnalités de base, puis sélectionnez Déchargement SSL.
Ajouter une adresse IP de sous-réseau
Pour plus d’informations sur les adresses IP des sous-réseaux, voir Configuration des adresses IP de sous-réseau.
Ajoutez une adresse SNIP et vérifiez la configuration à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez les commandes suivantes :
add ns ip <IPAddress> <netmask> -type SNIP
show ns ip
<!--NeedCopy-->
Exemple :
add ns ip 192.168.17.253 255.255.248.0 -type SNIP
Done
show ns ip
Ipaddress Traffic Domain Type Mode Arp Icmp Vserver State
--------- -------------- ---- ---- --- ---- ------- ------
1) 192.168.17.251 0 NetScaler IP Active Enabled Enabled NA Enabled
2) 192.168.17.252 0 VIP Active Enabled Enabled Enabled Enabled
3) 192.168.17.253 0 SNIP Active Enabled Enabled NA Enabled
Done
<!--NeedCopy-->
Ajoutez une adresse SNIP et vérifiez la configuration à l’aide de l’interface graphique
Accédez à Système > Réseau > IP, ajoutez une adresse IP et sélectionnez le type IP comme adresse IP de sous-réseau.
Copiez la clé HSM et le certificat sur l’ADC
Utilisez un utilitaire de transfert de fichiers sécurisé pour copier de manière sécurisée la clé (key_simple_examplersa2048key) /var/opt/nfast/kmdata/local
dans le dossier et le certificat (example_selfcert) /nsconfig/ssl
dans le dossier de l’ADC.
Ajoutez la clé sur l’ADC
Toutes les touches ont un préfixe simple. Lorsque vous ajoutez la clé à l’ADC, utilisez l’identifiant comme nom de clé HSM. Par exemple, si la clé que vous avez ajoutée est Key_Simple_XXXX, le nom de la clé HSM est XXXX.
Important :
- Le nom de la clé HSM doit être identique à l’identifiant que vous avez spécifié lors de la conversion d’une clé intégrée en un format de clé simple.
- Les clés doivent être présentes dans le
/var/opt/nfast/kmdata/local/
répertoire de l’ADC.
Ajouter une clé HSM à l’aide de la CLI
À l’invite du shell, exécutez la commande suivante :
add ssl hsmKey <hsmKeyName> -key <string>
<!--NeedCopy-->
Exemple :
add ssl hsmKey examplersa2048key –key key_simple_examplersa2048key
Done
<!--NeedCopy-->
Ajouter une clé HSM à l’aide de l’interface graphique
Accédez à Gestion du trafic > SSL > HSM, puis ajoutez une clé HSM.
Ajouter une paire de clés de certificat sur ADC
Pour plus d’informations sur les paires de clés de certificat, voir Ajouter ou mettre à jour une paire de clés de certificat.
Ajouter une paire de clés de certificat à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
add ssl certKey <certkeyName> -cert <string> -hsmKey <string>
<!--NeedCopy-->
Exemple :
add ssl certKey key22 -cert example_selfcert -hsmKey examplersa2048key
Done
<!--NeedCopy-->
Ajouter une paire de clés de certificat à l’aide de l’interface graphique
Accédez à Gestion du trafic > SSL > Certificatset ajoutez une paire de clés de certificat.
Ajouter un serveur virtuel
Pour plus d’informations sur un serveur virtuel, reportez-vous à la section Configuration du serveur virtuel SSL.
Configurer un serveur virtuel SSL à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
add lb vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->
Exemple :
add lb vserver v1 SSL 192.168.17.252 443
<!--NeedCopy-->
Configurer un serveur virtuel basé sur SSL à l’aide de l’interface graphique
Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, créez un serveur virtuel et spécifiez le protocole SSL.
Ajouter un objet serveur
Avant de pouvoir ajouter un objet serveur sur l’ADC, assurez-vous d’avoir créé un serveur principal. L’exemple suivant utilise le module Python HTTP Server intégré sur un système Linux.
Exemple :
%python –m SimpleHTTPServer 80
<!--NeedCopy-->
Ajouter un objet serveur à l’aide de la CLI
À l’invite de commandes, exécutez la commande suivante :
add server <name> <IPAddress>
<!--NeedCopy-->
Exemple :
add server s1 192.168.17.246
<!--NeedCopy-->
Ajouter un objet serveur à l’aide de l’interface graphique
Accédez à Gestion du trafic > Équilibrage de charge > Serveurs, puis ajoutez un serveur.
Ajouter un service
Pour plus d’informations, voir Configuration des services.
Configurer un service à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
add service <name> <serverName> <serviceType> <port>
<!--NeedCopy-->
Exemple :
add service sr1 s1 HTTP 80
<!--NeedCopy-->
Configurer un service à l’aide de l’interface graphique
Accédez à Gestion du trafic > Équilibrage de charge > Services, puis créez un service.
Liez le service au serveur virtuel
Pour plus d’informations, voir Lier les services au serveur virtuel SSL.
Lier un service à un serveur virtuel à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
bind lb vserver <name> <serviceName>
<!--NeedCopy-->
Exemple :
bind lb vserver v1 sr1
<!--NeedCopy-->
Liaison d’un service à un serveur virtuel à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
- Ouvrez un serveur virtuel et cliquez dans le volet Services pour lier un service au serveur virtuel.
Liez la paire de clés de certificat au serveur virtuel sur ADC
Pour plus d’informations, voir Lier la paire de clés de certificat au serveur virtuel SSL.
Liez une paire de clés de certificat à un serveur virtuel à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
bind ssl vserver <vServerName> -certkeyName <string>
<!--NeedCopy-->
Exemple :
bind ssl vserver v1 -certkeyName key22
Warning: Current certificate replaces the previous binding
<!--NeedCopy-->
Liez une paire de clés de certificat à un serveur virtuel à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
- Ouvrez un serveur virtuel SSL et, dans les paramètres avancés, cliquez sur Certificat SSL.
- Liez un certificat de serveur au serveur virtuel.
Vérifiez la configuration
Pour afficher la configuration à l’aide de la CLI :
À l’invite de commandes, exécutez les commandes suivantes :
show lb vserver <name>
show ssl vserver <vServerName>
<!--NeedCopy-->
Exemple :
show lb vserver v1
v1 (192.168.17.252:443) - SSL Type: ADDRESS
State: UP
Last state change was at Wed Oct 29 03:11:11 2014
Time since last state change: 0 days, 00:01:25.220
Effective State: UP
Client Idle Timeout: 180 sec
Down state flush: ENABLED
Disable Primary Vserver On Down : DISABLED
Appflow logging: ENABLED
No. of Bound Services : 1 (Total) 1 (Active)
Configured Method: LEASTCONNECTION
Current Method: Round Robin, Reason: Bound service's state changed to UP
Mode: IP
Persistence: NONE
Vserver IP and Port insertion: OFF
Push: DISABLED Push VServer:
Push Multi Clients: NO
Push Label Rule: none
L2Conn: OFF
Skip Persistency: None
IcmpResponse: PASSIVE
RHIstate: PASSIVE
New Service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0
Mac mode Retain Vlan: DISABLED
DBS_LB: DISABLED
Process Local: DISABLED
Traffic Domain: 0
1) sr1 (192.168.17.246: 80) - HTTP State: UP Weight: 1
Done
<!--NeedCopy-->
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: DISABLED TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: key22 Server Certificate
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Pour afficher la configuration à l’aide de l’interface graphique :
Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis double-cliquez sur un serveur virtuel SSL pour l’ouvrir et afficher la configuration.