-
-
Beschleunigen des Lastausgleichsverkehrs durch Verwendung von Komprimierung
-
Sicherer Lastausgleichsverkehr durch Verwendung von SSL
-
Bereitstellen einer NetScaler VPX- Instanz
-
Optimieren der Leistung von NetScaler VPX auf VMware ESX, Linux KVM und Citrix Hypervisors
-
NetScaler VPX-Konfigurationen beim ersten Start der NetScaler-Appliance in der Cloud anwenden
-
Verbessern der SSL-TPS-Leistung auf Public-Cloud-Plattformen
-
Gleichzeitiges Multithreading für NetScaler VPX in öffentlichen Clouds konfigurieren
-
Installieren einer NetScaler VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer NetScaler VPX-Instanz auf Citrix Hypervisor
-
Installieren einer NetScaler VPX-Instanz in der VMware Cloud auf AWS
-
Installieren einer NetScaler VPX-Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer NetScaler VPX-Instanz auf der Linux-KVM-Plattform
-
Voraussetzungen für die Installation virtueller NetScaler VPX-Appliances auf der Linux-KVM-Plattform
-
Provisioning der virtuellen NetScaler-Appliance mit OpenStack
-
Provisioning der virtuellen NetScaler-Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller NetScaler-Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Provisioning der virtuellen NetScaler-Appliance mit dem virsh-Programm
-
Provisioning der virtuellen NetScaler-Appliance mit SR-IOV auf OpenStack
-
-
Bereitstellen einer NetScaler VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen NetScaler VPX-Instanz auf AWS
-
Bereitstellen eines VPX-HA-Paar in derselben AWS-Verfügbarkeitszone
-
Bereitstellen eines VPX Hochverfügbarkeitspaars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Schützen von AWS API Gateway mit NetScaler Web Application Firewall
-
Konfigurieren einer NetScaler VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer NetScaler VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer NetScaler VPX Instanz unter Microsoft Azure
-
Netzwerkarchitektur für NetScaler VPX-Instanzen auf Microsoft Azure
-
Mehrere IP-Adressen für eine eigenständige NetScaler VPX-Instanz konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs über PowerShell-Befehle konfigurieren
-
NetScaler-Hochverfügbarkeitspaar auf Azure mit ALB im Floating IP-Deaktiviert-Modus bereitstellen
-
Konfigurieren Sie eine NetScaler VPX-Instanz für die Verwendung von Azure Accelerated Networking
-
Konfigurieren Sie HA-INC-Knoten mithilfe der NetScaler-Hochverfügbarkeitsvorlage mit Azure ILB
-
NetScaler VPX-Instanz auf der Azure VMware-Lösung installieren
-
Eigenständige NetScaler VPX-Instanz auf der Azure VMware-Lösung konfigurieren
-
NetScaler VPX-Hochverfügbarkeitssetups auf Azure VMware-Lösung konfigurieren
-
Konfigurieren von GSLB in einem Active-Standby-Hochverfügbarkeitssetup
-
Konfigurieren von Adresspools (IIP) für eine NetScaler Gateway Appliance
-
NetScaler VPX-Instanz auf der Google Cloud Platform bereitstellen
-
Bereitstellen eines VPX-Hochverfügbarkeitspaars auf der Google Cloud Platform
-
VPX-Hochverfügbarkeitspaars mit privaten IP-Adressen auf der Google Cloud Platform bereitstellen
-
NetScaler VPX-Instanz auf Google Cloud VMware Engine bereitstellen
-
Unterstützung für VIP-Skalierung für NetScaler VPX-Instanz auf GCP
-
-
Bereitstellung und Konfigurationen von NetScaler automatisieren
-
Lösungen für Telekommunikationsdienstleister
-
Authentifizierung, Autorisierung und Überwachung des Anwendungsverkehrs
-
Wie Authentifizierung, Autorisierung und Auditing funktionieren
-
Grundkomponenten der Authentifizierung, Autorisierung und Audit-Konfiguration
-
Web Application Firewall-Schutz für virtuelle VPN-Server und virtuelle Authentifizierungsserver
-
Lokales NetScaler Gateway als Identitätsanbieter für Citrix Cloud
-
Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration für häufig verwendete Protokolle
-
-
-
-
Konfigurieren von erweiterten Richtlinienausdrücken: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Zeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream-Analytics-Funktionen
-
Zusammenfassende Beispiele für erweiterte Richtlinienausdrücke
-
-
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken für virtuelle Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkte Richtlinieneinschläge auf den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
-
Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse
-
-
Verwalten des NetScaler Clusters
-
Knotengruppen für gepunktete und teilweise gestreifte Konfigurationen
-
Entfernen eines Knotens aus einem Cluster, der mit Cluster-Link-Aggregation bereitgestellt wird
-
Überwachen von Fehlern bei der Befehlsausbreitung in einer Clusterbereitstellung
-
VRRP-Interface-Bindung in einem aktiven Cluster mit einem einzigen Knoten
-
-
Konfigurieren von NetScaler als nicht-validierenden sicherheitsbewussten Stub-Resolver
-
Jumbo-Frames Unterstützung für DNS zur Handhabung von Reaktionen großer Größen
-
Zwischenspeichern von EDNS0-Client-Subnetzdaten bei einer NetScaler-Appliance im Proxymodus
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domänennamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-Adressbasierten Autoscale-Dienstgruppe
-
-
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Angegebene Quell-IP für die Back-End-Kommunikation verwenden
-
Quellport aus einem bestimmten Portbereich für die Back-End-Kommunikation verwenden
-
Quell-IP-Persistenz für Back-End-Kommunikation konfigurieren
-
Lokale IPv6-Linkadressen auf der Serverseite eines Load Balancing-Setups
-
Erweiterte Load Balancing-Einstellungen
-
Allmählich die Belastung eines neuen Dienstes mit virtuellem Server-Level erhöhen
-
Anwendungen vor Verkehrsspitzen auf geschützten Servern schützen
-
Bereinigung von virtuellen Server- und Dienstverbindungen ermöglichen
-
Persistenzsitzung auf TROFS-Diensten aktivieren oder deaktivieren
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Quell-IP-Adresse des Clients beim Verbinden mit dem Server verwenden
-
Limit für die Anzahl der Anfragen pro Verbindung zum Server festlegen
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Grenzwert für die Bandbreitenauslastung durch Clients festlegen
-
-
-
Lastausgleichs für häufig verwendete Protokolle konfigurieren
-
Anwendungsfall 5: DSR-Modus beim Verwenden von TOS konfigurieren
-
Anwendungsfall 6: Lastausgleich im DSR-Modus für IPv6-Netzwerke mit dem TOS-Feld konfigurieren
-
Anwendungsfall 7: Konfiguration des Lastenausgleichs im DSR-Modus mithilfe von IP Over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Lastausgleich im Inlinemodus konfigurieren
-
Anwendungsfall 10: Lastausgleich von Intrusion-Detection-System-Servern
-
Anwendungsfall 11: Netzwerkverkehr mit Listenrichtlinien isolieren
-
Anwendungsfall 12: Citrix Virtual Desktops für den Lastausgleich konfigurieren
-
Anwendungsfall 13: Konfiguration von Citrix Virtual Apps and Desktops für den Lastausgleich
-
Anwendungsfall 14: ShareFile-Assistent zum Lastausgleich Citrix ShareFile
-
Anwendungsfall 15: Konfiguration des Layer-4-Lastenausgleichs auf der NetScaler Appliance
-
SSL-Offload und Beschleunigung
-
Unterstützung des TLSv1.3-Protokolls wie in RFC 8446 definiert
-
Unterstützungsmatrix für Serverzertifikate auf der ADC-Appliance
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Thales Luna Network Hardwaresicherheitsmodul
-
-
-
CloudBridge Connector-Tunnels zwischen zwei Rechenzentren konfigurieren
-
CloudBridge Connector zwischen Datacenter und AWS Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen einem Rechenzentrum und Azure Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud konfigurieren
-
-
Konfigurationsdateien in einem Hochverfügbarkeitssetup synchronisieren
-
Hochverfügbarkeitsknoten in verschiedenen Subnetzen konfigurieren
-
Beschränken von Failovers, die durch Routenmonitore im Nicht-INC-Modus verursacht werden
-
HA-Heartbeat-Meldungen auf einer NetScaler-Appliance verwalten
-
NetScaler in einem Hochverfügbarkeitssetup entfernen und ersetzen
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Sicherer Lastausgleichsverkehr durch Verwendung von SSL
Die NetScaler SSL-Offload-Funktion verbessert transparent die Leistung von Websites, die SSL-Transaktionen durchführen. Durch die Übertragung von CPU-intensiven SSL-Verschlüsselungs- und Entschlüsselungsaufgaben vom lokalen Webserver auf die Appliance gewährleistet die SSL-Abladung die sichere Bereitstellung von Webanwendungen ohne die Leistungseinbußen, die bei der Verarbeitung der SSL-Daten durch den Server entstehen. Sobald der SSL-Verkehr entschlüsselt wurde, kann er von allen Standarddiensten verarbeitet werden. Das SSL-Protokoll arbeitet nahtlos mit verschiedenen Arten von HTTP- und TCP-Daten zusammen und bietet einen sicheren Kanal für Transaktionen, die solche Daten verwenden.
Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Dann konfigurieren Sie HTTP- oder TCP-Dienste und einen virtuellen SSL-Server auf der Appliance und binden die Dienste an den virtuellen Server. Sie müssen auch ein Zertifikatschlüsselpaar hinzufügen und an den virtuellen SSL-Server binden. Wenn Sie Outlook Web Access-Server verwenden, müssen Sie eine Aktion erstellen, um die SSL-Unterstützung zu aktivieren, und eine Richtlinie zum Anwenden der Aktion. Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mithilfe eines ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet dann die entschlüsselten Daten zur entsprechenden Verarbeitung an die anderen Entitäten auf der Appliance weiter.
Ausführliche Informationen zum SSL-Offloading finden Sie unter SSL-Offload und Beschleunigung.
SSL-Konfigurations-Tasksequenz
Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Dann müssen Sie einen virtuellen SSL-Server und HTTP- oder TCP-Dienste auf der NetScaler-Appliance erstellen. Schließlich müssen Sie ein gültiges SSL-Zertifikat und die konfigurierten Dienste an den virtuellen SSL-Server binden.
Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mithilfe eines ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet die entschlüsselten Daten dann zur entsprechenden Verarbeitung an die anderen Entitäten auf der NetScaler-Appliance weiter.
Das folgende Flussdiagramm zeigt die Reihenfolge der Aufgaben zum Konfigurieren eines grundlegenden SSL-Offload-Setups.
Abbildung 1. Abfolge von Aufgaben zum Konfigurieren von SSL-Ladung
SSL-Offload aktivieren
Aktivieren Sie zuerst die SSL-Funktion. Sie können SSL-basierte Entitäten auf der Appliance konfigurieren, ohne die SSL-Funktion zu aktivieren, aber sie funktionieren erst, wenn Sie SSL aktivieren.
Aktivieren Sie SSL über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um SSL-Offload zu aktivieren und die Konfiguration zu überprüfen:
- enable ns feature SSL
- show ns feature
<!--NeedCopy-->
Beispiel:
> enable ns feature ssl
Done
> show ns feature
Feature Acronym Status
------- ------- ------
1) Web Logging WL ON
2) SurgeProtection SP OFF
3) Load Balancing LB ON . . .
9) SSL Offloading SSL ON
10) Global Server Load Balancing GSLB ON . .
Done >
<!--NeedCopy-->
Aktivieren Sie SSL über die GUI
Führen Sie die folgenden Schritte aus:
- Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Einstellungen.
- Klicken Sie im Detailbereich unter Modi und Funktionenauf Grundfunktionen ändern.
- Aktivieren Sie das Kontrollkästchen SSL-Ladung, und klicken Sie dann auf OK.
- In den Funktion (en) aktivieren/deaktivieren? klicken Sie auf Ja.
Erstellen von HTTP-Diensten
Ein Dienst auf der Appliance repräsentiert eine Anwendung auf einem Server. Nach der Konfiguration befinden sich die Dienste im Status Deaktiviert, bis die Appliance den Server im Netzwerk erreichen und seinen Status überwachen kann. In diesem Thema werden die Schritte zum Erstellen eines HTTP-Dienstes behandelt.
Hinweis: Führen Sie für TCP-Verkehr die folgenden Verfahren aus, erstellen Sie jedoch TCP-Dienste anstelle von HTTP-Diensten.
Fügen Sie über die CLI einen HTTP-Dienst hinzu
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen HTTP-Dienst hinzuzufügen und die Konfiguration zu überprüfen:
- add service <name> (<IP> | <serverName>) <serviceType> <port>
- show service <name>
<!--NeedCopy-->
Beispiel:
> add service SVC_HTTP1 10.102.29.18 HTTP 80
Done
> show service SVC_HTTP1
SVC_HTTP1 (10.102.29.18:80) - HTTP
State: UP
Last state change was at Wed Jul 15 06:13:05 2009
Time since last state change: 0 days, 00:00:15.350
Server Name: 10.102.29.18
Server ID : 0 Monitor Threshold : 0
Max Conn: 0 Max Req: 0 Max Bandwidth: 0 kbits
Use Source IP: NO
Client Keepalive(CKA): NO
Access Down Service: NO
TCP Buffering(TCPB): NO
HTTP Compression(CMP): YES
Idle timeout: Client: 180 sec Server: 360 sec
Client IP: DISABLED
Cacheable: NO
SC: OFF
SP: OFF
Down state flush: ENABLED
1) Monitor Name: tcp-default
State: UP Weight: 1
Probes: 4 Failed [Total: 0 Current: 0]
Last response: Success - TCP syn+ack received.
Response Time: N/A
Done
<!--NeedCopy-->
Fügen Sie über die GUI einen HTTP-Dienst hinzu
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL Offload > Dienste.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld Dienst erstellen den Namen des Dienstes, die IP-Adresse und den Port ein (z. B. SVC_HTTP1, 10.102.29.18 und 80).
- Wählen Sie in der Liste Protokoll den Typ des Dienstes aus (z. B. HTTP).
- Klicken Sie auf Erstellenund dann auf Schließen. Der von Ihnen konfigurierte HTTP-Dienst wird auf der Seite Dienste angezeigt.
- Stellen Sie sicher, dass die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den Dienst auswählen und den Abschnitt Details unten im Bereich anzeigen.
Fügen Sie einen SSL-basierten virtuellen Server hinzu
In einem einfachen SSL-Offloading-Setup fängt der virtuelle SSL-Server verschlüsselten Datenverkehr ab, entschlüsselt ihn und sendet die Klartextnachrichten an die Dienste, die an den virtuellen Server gebunden sind. Durch das Ausladen der CPU-intensiven SSL-Verarbeitung auf die Appliance können die Back-End-Server eine größere Anzahl von Anfragen verarbeiten.
Fügen Sie über die CLI einen SSL-basierten virtuellen Server hinzu
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen SSL-basierten virtuellen Server zu erstellen und die Konfiguration zu überprüfen:
- add lb vserver <name> <serviceType> [<IPAddress> <port>]
- show lb vserver <name>
<!--NeedCopy-->
Vorsicht: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.
Beispiel:
> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443
Done
> show lb vserver vserver-SSL-1
vserver-SSL-1 (10.102.29.50:443) - SSL Type: ADDRESS
State: DOWN[Certkey not bound] Last state change was at Tue Jun 16 06:33:08 2009 (+176 ms)
Time since last state change: 0 days, 00:03:44.120
Effective State: DOWN Client Idle Timeout: 180 sec
Down state flush: ENABLED
Disable Primary Vserver On Down : DISABLED
No. of Bound Services : 0 (Total) 0 (Active)
Configured Method: LEASTCONNECTION Mode: IP
Persistence: NONE
Vserver IP and Port insertion: OFF
Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule: Done
<!--NeedCopy-->
Fügen Sie über die GUI einen SSL-basierten virtuellen Server hinzu
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld Virtuellen Server erstellen (SSL-Offload) den Namen des virtuellen Servers, die IP-Adresse und den Port ein.
- Wählen Sie in der Liste Protokoll den Typ des virtuellen Servers aus, z. B.
- Klicken Sie auf Erstellenund dann auf Schließen.
- Stellen Sie sicher, dass die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den virtuellen Server auswählen und den Abschnitt Details unten im Bereich anzeigen. Der virtuelle Server ist als DOWN gekennzeichnet, da ein Zertifikatschlüsselpaar und Dienste nicht an ihn gebunden waren.
Vorsicht: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.
Binden Sie Dienste an den virtuellen SSL-Server
Nach dem Entschlüsseln der eingehenden Daten leitet der virtuelle SSL-Server die Daten an die Dienste weiter, die Sie an den virtuellen Server gebunden haben.
Die Datenübertragung zwischen der Appliance und den Servern kann verschlüsselt oder im Klartext erfolgen. Wenn die Datenübertragung zwischen der Appliance und den Servern verschlüsselt ist, ist die gesamte Transaktion von Ende zu Ende sicher. Weitere Informationen zum Konfigurieren des Systems für End-to-End-Sicherheit finden Sie unter SSL-Offload and Acceleration.
Binden eines Dienstes an einen virtuellen Server mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Dienst an den virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:
- bind lb vserver <name> <serviceName>
- show lb vserver <name>
<!--NeedCopy-->
Beispiel:
> bind lb vserver vserver-SSL-1 SVC_HTTP1
Done
> show lb vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) - SSL Type:
ADDRESS State: DOWN[Certkey not bound]
Last state change was at Tue Jun 16 06:33:08 2009 (+174 ms)
Time since last state change: 0 days, 00:31:53.70
Effective State: DOWN Client Idle
Timeout: 180 sec
Down state flush: ENABLED Disable Primary Vserver On Down :
DISABLED No. of Bound Services : 1 (Total) 0 (Active)
Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP and
Port insertion: OFF Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule:
1) SVC_HTTP1 (10.102.29.18: 80) - HTTP
State: DOWN Weight: 1
Done
<!--NeedCopy-->
Binden Sie einen Dienst über die GUI an einen virtuellen Server
- Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
- Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
- Aktivieren Sie auf der Registerkarte Dienste in der Spalte Aktiv die Kontrollkästchen neben den Diensten, die Sie an den ausgewählten virtuellen Server binden möchten.
- Klicken Sie auf OK.
- Stellen Sie sicher, dass der Zähler Anzahl gebundener Dienste im Abschnitt Details am unteren Rand des Bereichs um die Anzahl der Dienste erhöht wird, die Sie an den virtuellen Server gebunden haben.
Fügen Sie ein Zertifikatschlüsselpaar hinzu
Ein SSL-Zertifikat ist ein integraler Bestandteil des SSL Key-Exchange- und Verschlüsselungs-/Entschlüsselungsprozesses. Das Zertifikat wird während eines SSL-Handshakes verwendet, um die Identität des SSL-Servers festzustellen. Sie können ein gültiges, vorhandenes SSL-Zertifikat verwenden, das Sie auf der NetScaler-Appliance haben, oder Sie können ein eigenes SSL-Zertifikat erstellen. Die Appliance unterstützt RSA-Zertifikate mit bis zu 4096 Bit.
ECDSA-Zertifikate mit nur den folgenden Kurven werden unterstützt:
- prime256v1 (P_256 im ADC)
- secp384r1 (P_384 im ADC)
- secp521r1 (P_521 im ADC; nur auf VPX unterstützt)
- secp224r1 (P_224 im ADC; nur auf VPX unterstützt)
Hinweis: Citrix empfiehlt, dass Sie ein gültiges SSL-Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Ungültige Zertifikate und selbst erstellte Zertifikate sind nicht mit allen SSL-Clients kompatibel.
Bevor ein Zertifikat für die SSL-Verarbeitung verwendet werden kann, müssen Sie es mit dem entsprechenden Schlüssel koppeln. Das Zertifikatschlüsselpaar wird dann an den virtuellen Server gebunden und für die SSL-Verarbeitung verwendet.
Hinzufügen eines Zertifikatsschlüsselpaars über die CLI
Hinweis: Informationen zum Erstellen eines ECDSA-Zertifikatschlüsselpaars finden Sie unter Erstellen eines ECDSA-Zertifikatschlüsselpaars.
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Zertifikatschlüsselpaar zu erstellen und die Konfiguration zu überprüfen:
- add ssl certKey <certkeyName> -cert <string> [-key <string>]
- show sslcertkey <name>
<!--NeedCopy-->
Beispiel:
> add ssl certKey CertKey-SSL-1 -cert ns-root.cert -key ns-root.key
Done
> show sslcertkey CertKey-SSL-1
Name: CertKey-SSL-1 Status: Valid,
Days to expiration:4811 Version: 3
Serial Number: 00 Signature Algorithm: md5WithRSAEncryption Issuer: C=US,ST=California,L=San
Jose,O=Citrix ANG,OU=NS Internal,CN=de fault
Validity Not Before: Oct 6 06:52:07 2006 GMT Not After : Aug 17 21:26:47 2022 GMT
Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault Public Key
Algorithm: rsaEncryption Public Key
size: 1024
Done
<!--NeedCopy-->
Fügen Sie über die GUI ein Zertifikatschlüsselpaar hinzu
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL > Zertifikate.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld Zertifikat installieren im Textfeld Name des Zertifikatschlüsselpaars einen Namen für das Zertifikatschlüsselpaar ein, das Sie hinzufügen möchten, z. B. CertKey-SSL-1.
- Klicken Sie unter Detailsunter Certificate File Name auf Durchsuchen (Appliance), um das Zertifikat zu suchen. Sowohl das Zertifikat als auch der Schlüssel werden im Ordner /nsconfig/ssl/ auf der Appliance gespeichert. Um ein auf dem lokalen System vorhandenes Zertifikat zu verwenden, wählen Sie Lokal aus.
- Wählen Sie das Zertifikat aus, das Sie verwenden möchten, und klicken Sie dann auf Auswählen.
- Klicken Sie unter Private Key File Name auf Durchsuchen (Appliance), um die Datei mit dem privaten Schlüssel zu suchen. Um einen privaten Schlüssel auf dem lokalen System zu verwenden, wählen Sie Lokal aus.
- Wählen Sie den Schlüssel aus, den Sie verwenden möchten, und klicken Sie auf Auswählen. Um den im Zertifikatschlüsselpaar verwendeten Schlüssel zu verschlüsseln, geben Sie das für die Verschlüsselung zu verwendende Kennwort in das Textfeld Kennwort ein.
- Klicken Sie auf Installieren.
- Doppelklicken Sie auf das Zertifikatschlüsselpaar und überprüfen Sie im Fenster Zertifikatsdetails, ob die Parameter korrekt konfiguriert und gespeichert wurden.
Binden Sie ein SSL-Zertifikatschlüsselpaar an den virtuellen Server
Nachdem Sie ein SSL-Zertifikat mit dem entsprechenden Schlüssel gekoppelt haben, binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server, damit es für die SSL-Verarbeitung verwendet werden kann. Sichere Sitzungen erfordern das Herstellen einer Verbindung zwischen dem Clientcomputer und einem SSL-basierten virtuellen Server auf der Appliance. Die SSL-Verarbeitung wird dann für den eingehenden Datenverkehr auf dem virtuellen Server durchgeführt. Bevor Sie den virtuellen SSL-Server auf der Appliance aktivieren, müssen Sie daher ein gültiges SSL-Zertifikat an den virtuellen SSL-Server binden.
Binden Sie ein SSL-Zertifikatschlüsselpaar über die CLI an einen virtuellen Server
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein SSL-Zertifikatschlüsselpaar an einen virtuellen Server zu binden und die Konfiguration zu überprüfen:
- bind ssl vserver <vServerName> -certkeyName <string>
- show ssl vserver <name>
<!--NeedCopy-->
Beispiel:
> bind ssl vserver Vserver-SSL-1 -certkeyName CertKey-SSL-1
Done
> show ssl vserver Vserver-SSL-1
Advanced SSL configuration for VServer Vserver-SSL-1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: ENABLED
SSLv2 Redirect: ENABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: CertKey-SSL-1 Server Certificate
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Binden Sie ein SSL-Zertifikatschlüsselpaar über die GUI an einen virtuellen Server
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
- Wählen Sie den virtuellen Server aus, an den Sie das Zertifikatschlüsselpaar binden möchten, z. B. vServer-SSL-1, und klicken Sie auf Öffnen.
- Wählen Sie im Dialogfeld Virtuellen Server konfigurieren (SSL-Offload) auf der Registerkarte SSL-Einstellungen unter Verfügbardas Zertifikatschlüsselpaar aus, das Sie an den virtuellen Server binden möchten. Klicken Sie dann auf Hinzufügen.
- Klicken Sie auf OK.
- Stellen Sie sicher, dass das von Ihnen ausgewählte Zertifikatschlüsselpaar im Bereich Konfiguriert angezeigt wird.
Konfigurieren der Unterstützung für Outlook Web Access
Wenn Sie Outlook Web Access (OWA) -Server auf Ihrer NetScaler-Appliance verwenden, müssen Sie die Appliance so konfigurieren, dass ein spezielles Header-Feld, FRONT-END-HTTPS: ON, in HTTP-Anforderungen an die OWA-Server eingefügt wird, damit die Server https://
anstelle von URL-Links generieren http://
.
Hinweis: Sie können die OWA-Unterstützung nur für HTTP-basierte virtuelle SSL-Server und -Dienste aktivieren. Sie können es nicht für TCP-basierte virtuelle SSL-Server und -Dienste anwenden.
Gehen Sie wie folgt vor, um die OWA-Unterstützung zu konfigurieren:
- Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung zu aktivieren.
- Erstellen Sie eine SSL-Richtlinie.
- Binden Sie die Richtlinie an den virtuellen SSL-Server.
Erstellen Sie eine SSL-Aktion, um OWA-Unterstützung zu aktivieren
Bevor Sie die Unterstützung von Outlook Web Access (OWA) aktivieren können, müssen Sie eine SSL-Aktion erstellen. SSL-Aktionen sind an SSL-Richtlinien gebunden und werden ausgelöst, wenn eingehende Daten der in der Richtlinie angegebenen Regel entsprechen.
Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung über die CLI zu aktivieren
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Aktion zu erstellen, um die OWA-Unterstützung zu aktivieren und die Konfiguration zu überprüfen:
- add ssl action <name> -OWASupport ENABLED
- show SSL action <name>
<!--NeedCopy-->
Beispiel:
> add ssl action Action-SSL-OWA -OWASupport enabled
Done
> show SSL action Action-SSL-OWA
Name: Action-SSL-OWA
Data Insertion Action: OWA
Support: ENABLED
Done
<!--NeedCopy-->
Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung über die GUI zu aktivieren
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL > Richtlinien.
- Klicken Sie im Detailbereich auf der Registerkarte Aktionen auf Hinzufügen.
- Geben Sie im Dialogfeld SSL-Aktion erstellen im Textfeld Name Action-SSL-OWA ein.
- Wählen Sie unter Outlook Web Access die Option Aktiviert.
- Klicken Sie auf Erstellenund dann auf Schließen.
- Stellen Sie sicher, dass Action-SSL-OWA auf der Seite SSL-Aktionen angezeigt wird.
Erstellen von SSL-Richtlinien
SSL-Richtlinien werden mithilfe der Richtlinieninfrastruktur erstellt. An jede SSL-Richtlinie ist eine SSL-Aktion gebunden, und die Aktion wird ausgeführt, wenn eingehender Datenverkehr mit der in der Richtlinie konfigurierten Regel übereinstimmt.
Erstellen einer SSL-Richtlinie über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie zu konfigurieren und die Konfiguration zu überprüfen:
- add ssl policy <name> -rule <expression> -reqAction <string>
- show ssl policy <name>
<!--NeedCopy-->
Beispiel:
> add ssl policy-SSL-1 -rule ns_true -reqaction Action-SSL-OWA
Done
> show ssl policy-SSL-1
Name: Policy-SSL-1 Rule: ns_true
Action: Action-SSL-OWA Hits: 0
Policy is bound to following entities
1) PRIORITY : 0
Done
<!--NeedCopy-->
Erstellen einer SSL-Richtlinie über die GUI
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL > Richtlinien.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld SSL-Richtlinie erstellen im Textfeld Name den Namen der SSL-Richtlinie ein (z. B. Policy-SSL-1).
- Wählen Sie unter der Aktion Request die konfigurierte SSL-Aktion aus, die Sie dieser Richtlinie zuordnen möchten (z. B. Action-SSL-OWA). Der allgemeine Ausdruck ns_true wendet die Richtlinie auf den gesamten erfolgreichen SSL-Handshake-Verkehr an. Um bestimmte Antworten zu filtern, können Sie jedoch Richtlinien mit einer höheren Detailgenauigkeit erstellen. Weitere Informationen zum Konfigurieren granularer Richtlinienausdrücke finden Sie unter SSL-Aktionen und Richtlinien.
- Wählen Sie in Benannte Ausdrückeden integrierten allgemeinen Ausdruck ns_true aus und klicken Sie auf Ausdruck hinzufügen. Der Ausdruck ns_true wird jetzt im Textfeld Ausdruck angezeigt.
- Klicken Sie auf Erstellenund dann auf Schließen.
- Stellen Sie sicher, dass die Richtlinie korrekt konfiguriert ist, indem Sie die Richtlinie auswählen und den Abschnitt Details unten im Bereich anzeigen.
Binden Sie die SSL-Richtlinie an den virtuellen SSL-Server
Nachdem Sie eine SSL-Richtlinie für Outlook Web Access konfiguriert haben, binden Sie die Richtlinie an einen virtuellen Server, der eingehenden Outlook-Datenverkehr abfängt. Wenn die eingehenden Daten mit einer der in der SSL-Richtlinie konfigurierten Regeln übereinstimmen, wird die Richtlinie ausgelöst und die damit verbundene Aktion wird ausgeführt.
Binden Sie eine SSL-Richtlinie über die CLI an einen virtuellen SSL-Server
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie an einen virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:
- bind ssl vserver <vServerName> -policyName <string>
- show ssl vserver <name>
<!--NeedCopy-->
Beispiel:
> bind ssl vserver Vserver-SSL-1 -policyName Policy-SSL-1
Done
> show ssl vserver Vserver-SSL-1
Advanced SSL configuration for VServer Vserver-SSL-1:
DH: DISABLED
Ephemeral RSA: ENABLED
Refresh Count: 0
Session Reuse: ENABLED
Timeout: 120 seconds
Cipher Redirect: ENABLED
SSLv2 Redirect: ENABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: CertKey-SSL-1 Server Certificate
1) Policy Name: Policy-SSL-1 Priority: 0
1) Cipher Name: DEFAULT Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Binden Sie eine SSL-Richtlinie über die GUI an einen virtuellen SSL-Server
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL-Offload > Virtuelle Server.
- Wählen Sie im Detailbereich den virtuellen Server aus (z. B. vServer-SSL-1), und klicken Sie dann auf Öffnen.
- Klicken Sie im Dialogfeld Virtuellen Server konfigurieren (SSL-Offload) auf Richtlinie einfügen, und wählen Sie dann die Richtlinie aus, die Sie an den virtuellen SSL-Server binden möchten. Optional können Sie auf das Feld Priorität doppelklicken und eine neue Prioritätsstufe eingeben.
- Klicken Sie auf OK.
Teilen
Teilen
In diesem Artikel
- SSL-Konfigurations-Tasksequenz
- SSL-Offload aktivieren
- Erstellen von HTTP-Diensten
- Fügen Sie einen SSL-basierten virtuellen Server hinzu
- Binden Sie Dienste an den virtuellen SSL-Server
- Fügen Sie ein Zertifikatschlüsselpaar hinzu
- Binden Sie ein SSL-Zertifikatschlüsselpaar an den virtuellen Server
- Konfigurieren der Unterstützung für Outlook Web Access
- Erstellen Sie eine SSL-Aktion, um OWA-Unterstützung zu aktivieren
- Erstellen von SSL-Richtlinien
- Binden Sie die SSL-Richtlinie an den virtuellen SSL-Server
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.