使用端到端加密配置 SSL 卸载

简单的 SSL 卸载设置将终止 SSL 流量 (HTTPS)、解密 SSL 记录并将明文 (HTTP) 流量转发到后端 Web 服务器。但是,明文流量很容易被成功获得对后端网络设备或 Web 服务器的访问权限的个人欺骗、读取、被盗或泄露。

因此,您可以通过重新加密明文数据并使用安全的 SSL 会话与后端 Web 服务器进行通信来配置 SSL 卸载,具有端到端安全性。

此外,您可以配置后端 SSL 事务,以便 Citrix ADC 设备使用 SSL 会话多路复用与后端 Web 服务器重用现有 SSL 会话,从而避免 CPU 密集型密钥交换(完全握手)操作。这将减少服务器上 SSL 会话的总数,从而加速 SSL 事务,同时保持端到端安全性。

要使用端到端加密配置 SSL 卸载,请添加基于 SSL 的服务,这些服务表示 Citrix ADC 设备将使用其执行端到端加密的安全服务器。然后创建基于 SSL 的虚拟服务器,并创建有效的证书密钥对并将其绑定到虚拟服务器。将 SSL 服务绑定到虚拟服务器以完成配置。

要配置端到端加密部署,请执行以下步骤:

  • 创建 SSL 服务
  • 创建 SSL 虚拟服务器
  • 添加证书密钥对
  • 将证书密钥对绑定到 SSL 虚拟服务器
  • 将服务绑定到 SSL 虚拟服务器

有关添加服务、虚拟服务器、证书密钥对的信息,请参阅SSL 卸载配置

配置中使用的示例值列在表中

实体

名称

IP 地址

端口

SSL 服务

service-ssl-1

198.51.100.5

443

SSL 服务

service-ssl-2

198.51.100.10

443

SSL 虚拟服务器

vserver-ssl

203.0.113.5

443

SSL 证书密钥对

certkey-1

示例:

add service service-ssl-1 198.51.100.5 SSL 443

add service service-ssl-2 198.51.100.10 SSL 443

add lb vserver vserver-ssl SSL 203.0.113.5 443

add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky

bind ssl vserver vserver-ssl -certkeyName certkey-1

bind lb vserver vserver-ssl service-ssl-1

bind lb vserver vserver-ssl service-ssl-2

使用端到端加密配置 SSL 卸载