配置透明 SSL 加速

注意: 根据部署情况,您可能需要在 Citrix ADC 设备上启用 L2 模式。

透明 SSL 加速对于在具有相同公有 IP 的安全服务器上运行多个应用程序非常有用。它对于 SSL 加速也很有用,而无需使用额外的公有 IP。

在透明的 SSL 加速设置中,Citrix ADC 设备对客户端是透明的。这是因为设备接收请求的 IP 地址与 Web 服务器的 IP 地址相同。

Citrix ADC 设备从 Web 服务器卸载 SSL 流量处理,并向 Web 服务器发送明文或加密流量(具体取决于配置)。所有其他流量对设备是透明的,并桥接到 Web 服务器。因此,服务器上运行的其他应用程序不受影响。

设备上有三种透明 SSL 加速模式:

  • 基于服务的透明访问,其中服务类型可以是 SSL 或 SSL_TCP。
  • 具有通配符 IP 地址的基于虚拟服务器的透明访问 (*:443)。
  • 基于 SSL VIP 的透明访问,具有端到端加密功能。

注意:SSL_TCP 服务用于非 HTTPS 服务(例如,SMTPPS 和 IMAPS)。

基于服务的透明 SSL 加速

要使用 SSL 服务模式启用透明 SSL 加速,请使用实际后端 Web 服务器的 IP 地址配置 SSL 或 SSL_TCP 服务。现在,流量将直接传递给服务,而不是虚拟服务器拦截 SSL 流量并将其传递给服务。该服务解密 SSL 流量并将明文数据发送到后端服务器。

基于服务的模式允许您使用不同的证书或不同的明文端口配置单个服务。此外,您还可以选择单个服务进行 SSL 加速。

您可以对使用不同协议的数据应用基于服务的透明 SSL 加速。为此,请将 SSL 服务的明文端口设置为 SSL 服务和后端服务器之间发生数据传输的端口。

要配置基于服务的透明 SSL 加速,首先启用 SSL 和负载平衡功能。然后创建基于 SSL 的服务并配置其明文端口。创建服务后,创建证书密钥对并将其绑定到此服务。

示例:

启用 SSL 卸载和负载均衡。

使用端口 443 创建一个基于 SSL 的服务,服务 SSL-1,IP 地址 10.102.20.30,并配置其明文端口。

接下来,创建证书密钥对 CertKey 1,并将其绑定到 SSL 服务。

表 1. 基于服务的透明 SSL 加速中的实体

实体 名称
SSL 服务 Service-SSL-1 102.20.30
证书-密钥对 Certkey-1 -

使用通配符 IP 地址的基于虚拟服务器的加速 (*:443)

如果要为托管网站安全内容的多台服务器启用 SSL 加速,则可以在通配符 IP 地址模式下使用 SSL 虚拟服务器。在此模式下,单数字证书足以用于整个安全网站,而不是每个虚拟服务器的一个证书。这将大大节省 SSL 证书和续订的成本。通配符 IP 地址模式还可实现集中式证书管理。

要在 Citrix ADC 设备上配置全局透明 SSL 加速,请创建一个 *:443 虚拟服务器。此虚拟服务器接受与端口 443 关联的任何 IP 地址。然后,将有效证书绑定到此虚拟服务器,并绑定虚拟服务器要传输到的所有服务。此类虚拟服务器可以对基于 HTTP 的数据使用 SSL 协议,也可以对非基于 HTTP 的数据使用 SSL_TCP 协议。

使用通配符 IP 地址配置基于虚拟服务器的加速

  1. 如中所述,启用 SSL启用 SSL
  2. 启用负载平衡,如中所述负载平衡
  3. 添加基于 SSL 的虚拟服务器并按照SSL 卸载配置中所述设置 clearTextPort 参数。
  4. 添加证书密钥对,如中所述添加或更新证书密钥对

注意: 通配符服务器会自动学习设备上配置的服务器,因此您无需为通配符虚拟服务器配置服务。

示例:

启用 SSL 卸载和负载均衡。创建基于 SSL 的通配符虚拟服务器,IP 地址设置为 * 和端口号 443,并配置其明文端口(可选)。

如果指定明文端口,解密的数据将发送到该特定端口上的后端服务器。否则,加密数据将发送到端口 443。

接下来,创建 SSL 证书密钥对 CertKey 1,并将其绑定到 SSL 虚拟服务器。

表 2. 基于虚拟服务器的加速中的实体使用通配符 IP 地址示例

实体 名称 IP 地址 端口
基于 SSL 的虚拟服务器 Vserver-SSL-Wildcard * 443
证书-密钥对 Certkey-1 - -

基于 SSL VIP 的透明访问,具有端到端加密

如果没有指定明文端口,则可以使用 SSL 虚拟服务器进行端到端加密的透明访问。在这种配置中,设备终止并卸载所有 SSL 处理。然后,它启动安全的 SSL 会话,并将加密的数据(而不是明文数据)发送到通配符虚拟服务器上配置的端口上的 Web 服务器。

注意: 在这种情况下,SSL 加速功能使用默认配置在后端运行,所有 34 个密码都可用。

若要使用端到端加密配置基于 SSL VIP 的透明访问,请按照使用通配符 IP 地址配置基于虚拟服务器的加速的说明 (*:443),但不要在虚拟服务器上配置明文端口。