Citrix ADC

エンドツーエンド暗号化による SSL オフロードの構成

単純な SSL オフロード設定では、SSL トラフィック(HTTPS)を終了し、SSL レコードを復号化し、クリアテキスト(HTTP)トラフィックをバックエンド Web サーバに転送します。クリアテキストトラフィックは、バックエンドネットワークデバイスまたはWebサーバーへのアクセスに成功した個人によるなりすまし、読み取り、盗難、または侵害に対して脆弱です。

したがって、クリアテキストデータを再暗号化し、セキュア SSL セッションを使用してバックエンド Web サーバーと通信することにより、エンドツーエンドセキュリティで SSL オフロードを構成できます。

アプライアンスがSSLセッション多重化を使用してバックエンドWebサーバーとの既存のSSLセッションを再利用するように、バックエンドSSLトランザクションを構成できます。CPUを集中的に使用するキー交換(完全なハンドシェイク)操作を回避し、サーバー上のSSLセッションの総数を減らすのに役立ちます。その結果、エンドツーエンドのセキュリティを維持しながらSSLトランザクションを高速化します。

エンドツーエンドの暗号化展開を設定するには、次の手順を実行します。

  • SSL サービスの作成
  • SSL 仮想サーバーを作成する
  • 証明書とキーのペアを追加します
  • 証明書とキーのペアを SSL 仮想サーバーにバインドする
  • サービスを SSL 仮想サーバーにバインドする

サービス、仮想サーバー、証明書とキーのペアの追加については、 SSL オフロードの設定を参照してください

構成で使用されるサンプル値は、表

エンティティ Name IPアドレス ポート
SSLサービス service-ssl-1 198.51.100.5 443
SSLサービス service-ssl-2 198.51.100.10 443
SSL仮想サーバー vserver-ssl 203.0.113.5 443
SSL 証明書キーペア certkey-1 - -

例:

add service service-ssl-1 198.51.100.5 SSL 443

add service service-ssl-2 198.51.100.10 SSL 443

add lb vserver vserver-ssl SSL 203.0.113.5 443

add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky

bind ssl vserver vserver-ssl -certkeyName certkey-1

bind lb vserver vserver-ssl service-ssl-1

bind lb vserver vserver-ssl service-ssl-2
<!--NeedCopy-->

GUIを使用したエンドツーエンド暗号化による SSL オフロードの構成

  1. Traffic Management > Load Balancing > Services > Addに移動します。
  2. service-ssl-1service-ssl-2の 2 つのサービスを追加します。
  3. Traffic Management > SSL > Certificates > Installに移動します。
  4. 証明書とキーのペアを追加します。certkey-1
  5. Traffic Management > Load Balancing > Virtual Servers > Addに移動します。
  6. 仮想サーバーを追加します。vserver-ssl
  7. [OK] をクリックします。
  8. [負荷分散仮想サーバーサービスのバインド]内をクリックします。
  9. [サービスの選択]で、矢印をクリックします。
  10. [ サービス ] ダイアログボックスで、service-ssl-1 およびservice-ssl-2を選択します。
  11. [Select]をクリックします。
  12. [バインド] をクリックします。
  13. [続行] をクリックします。
  14. [証明書] セクションで、[ サーバー証明書]をクリックします。
  15. [サーバー証明書の選択]で、矢印をクリックします。
  16. [ サーバー証明書 ] ダイアログボックスで、certkey-1をクリックします。
  17. [Select]をクリックします。
  18. [バインド] をクリックします。
  19. [続行] をクリックします。
  20. [完了] をクリックします。

エンドツーエンドの暗号化による SSL オフロード

エンドツーエンド暗号化による SSL オフロードの構成