SSL 服务监视

Citrix ADC 设备具有内置的安全监视器、TCPS 和 HTTPS。您可以使用安全监视器监视 HTTP 和非 HTTP 流量。要配置安全 HTTP 监视器,请选择监视器类型作为 HTTP,然后设置安全标志。若要配置安全的 TCP 监视器,请选择监视器类型作为 TCP,然后设置安全标志。安全监视器的工作原理如下:

  • 安全 TCP 监控。Citrix ADC 设备建立 TCP 连接。建立连接后,设备与服务器执行 SSL 握手。握手结束后,设备关闭连接。
  • 安全的 HTTP 监视。Citrix ADC 设备建立 TCP 连接。建立连接后,设备与服务器执行 SSL 握手。建立 SSL 连接后,设备会通过加密通道发送 HTTP 请求并检查响应代码。

下表介绍了可用于监视 SSL 服务的内置监视器。

显示器类型 探测器 成功标准(直接条件)
TCP TCP 连接;SSL 握手 成功建立 TCP 连接和成功的 SSL 握手。
HTTP TCP 连接;SSL 握手;加密的 HTTP 请求 成功建立 TCP 连接,执行成功的 SSL 握手,并加密服务器 HTTP 响应中的预期 HTTP 响应代码。
tcp-ecv TCP 连接;SSL 握手(发送到服务器的数据已加密。) 成功建立 TCP 连接,成功执行 SSL 握手,并从服务器接收预期的 TCP 数据。
http-ecv TCP 连接;SSL 握手(加密的 HTTP 请求) 成功建立 TCP 连接,成功执行 SSL 握手,并从服务器接收预期的 HTTP 数据。

HTTPS-ECV 运行状况检查监视器的示例配置

HTTP 服务具有预定义的监视器,能够进行扩展内容验证 (ECV)。当成功的 TCP 连接之外需要验证时,将使用 这些监视器。当满足以下所有条件时,这些监视器将服务验证为 UP:

  • 成功的 TCP 连接。
  • 必须生成特定类型的请求。
  • 接收字符串回复中需要一条特定的消息。

对于这些监视器,请求字符串与回复字符串一起配置。如果 Citrix ADC 监视器收到的回复字符串与配置的字符串匹配,则服务标记为“UP”。

使用 GUI 将监视器绑定到服务

  1. 导航到 流量管理 > 负载平衡 > 服务 ,创建服务,并将协议指定为 SSL 。单击确定
  2. 单击 服务以负载平衡监视器绑定 窗格中,然后单击 添加绑定
  3. 选择显示器类型为 HTTPS-ECV ,然后单击 编辑
  4. 在“基本参数”选项卡下的“配置监视器”窗格中,输入以下参数的值:
    • 发送字符串 — 监视器必须发送到服务的字符串。
    • 接收字符串 — 监视器必须接收的字符串以将服务标记为 UP。

    接收字符串

  5. 单击“确定”以完成监视器配置。
  6. 单击 Select(选择)。
  7. 单击 绑定 以将 HTTPS-ECV 监视器绑定到服务。
  8. 单击关闭

使用 CLI 将监视器绑定到服务

在命令提示窗口中,键入:

bind service <servicename> -monitorName https-ecv

示例:

bind services1 -monitorName https-ecv