Konfigurieren Sie SSL-Offloading mit Ende-zu-Ende-Verschlüsselung
Ein einfaches SSL-Offloading-Setup beendet den SSL-Verkehr (HTTPS), entschlüsselt die SSL-Datensätze und leitet den Klartext-Verkehr (HTTP) an die Back-End-Webserver weiter. Klartextverkehr ist anfällig dafür, dass Personen, denen es gelingt, Zugriff auf die Back-End-Netzwerkgeräte oder Webserver zu erhalten, gefälscht, gelesen, gestohlen oder kompromittiert werden.
Sie können daher SSL-Offloading mit durchgängiger Sicherheit konfigurieren, indem Sie die Klartextdaten erneut verschlüsseln und sichere SSL-Sitzungen für die Kommunikation mit den Back-End-Webservern verwenden.
Konfigurieren Sie die Back-End-SSL-Transaktionen so, dass die Appliance SSL-Sitzungsmultiplexing verwendet, um bestehende SSL-Sitzungen mit den Back-End-Webservern wiederzuverwenden. Es hilft, CPU-intensive Schlüsselaustauschvorgänge (Full-Handshake) zu vermeiden und reduziert auch die Gesamtzahl der SSL-Sitzungen auf dem Server. Dadurch wird die SSL-Transaktion beschleunigt und gleichzeitig die End-to-End-Sicherheit gewährleistet.
Gehen Sie wie folgt vor, um eine Ende-zu-Ende-Verschlüsselungsbereitstellung zu konfigurieren:
- SSL-Dienste erstellen
- Erstellen Sie einen virtuellen SSL-Server
- Fügen Sie ein Zertifikatschlüsselpaar hinzu
- Binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server
- Binden Sie die Dienste an den virtuellen SSL-Server
Informationen zum Hinzufügen von Diensten, virtuellen Servern und Zertifikatschlüsselpaaren finden Sie unter SSL-Abladungskonfiguration.
Beispielwerte, die in der Konfiguration verwendet werden, sind in der Tabelle
| Entität | Name | IP-Adresse | Port |
|---|---|---|---|
| SSL-Dienst | service-ssl-1 | 198.51.100.5 | 443 |
| SSL-Dienst | service-ssl-2 | 198.51.100.10 | 443 |
| Virtueller SSL-Server | vserver-ssl |
203.0.113.5 | 443 |
| SSL-Zertifikatsschlüsselpaar | certkey-1 | Nicht verfügbar | Nicht verfügbar |
Beispiel:
add service service-ssl-1 198.51.100.5 SSL 443
add service service-ssl-2 198.51.100.10 SSL 443
add lb vserver vserver-ssl SSL 203.0.113.5 443
add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky
bind ssl vserver vserver-ssl -certkeyName certkey-1
bind lb vserver vserver-ssl service-ssl-1
bind lb vserver vserver-ssl service-ssl-2
<!--NeedCopy-->
Konfigurieren Sie SSL-Abladung mit Ende-zu-Ende-Verschlüsselung mit der GUI
- Navigieren Sie zu Traffic Management > Load Balancing > Services > Hinzufügen.
- Fügen Sie zwei Dienste hinzu:
service-ssl-1undservice-ssl-2. - Navigieren Sie zu Traffic Management > SSL > Zertifikate > Installieren.
- Fügen Sie ein Zertifikatschlüsselpaar hinzu:
certkey-1. - Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server > Hinzufügen.
- Fügen Sie einen virtuellen Server hinzu:
vserver-ssl. - Klicken Sie auf OK.
- Klicken Sie in Load Balancing Virtual Server Service Binding.
- Klicken Sie in Select Serviceauf den Pfeil.
- Wählen Sie im Dialogfeld Dienst
service-ssl-1und ausservice-ssl-2. - Klicken Sie auf Select.
- Klicken Sie auf Bind.
- Klicken Sie auf Weiter.
- Klicken Sie im Abschnitt Zertifikat auf Serverzertifikat.
- Klicken Sie unter Serverzertifikat auswählenauf den Pfeil.
- Klicken Sie im Dialogfeld Serverzertifikate auf
certkey-1. - Klicken Sie auf Select.
- Klicken Sie auf Bind.
- Klicken Sie auf Weiter.
- Klicken Sie auf Fertig.
