-
Erste Schritte mit NetScaler ADC
-
Lastausgleichs-Datenverkehr auf einer NetScaler ADC-Appliance
-
Beschleunigen des Lastausgleichsverkehrs durch Verwendung von Komprimierung
-
Sicherer Lastausgleichsverkehr durch Verwendung von SSL
-
Bereitstellen einer NetScaler ADC VPX- Instanz
-
Optimieren der Leistung von NetScaler ADC VPX auf VMware ESX, Linux KVM und Citrix Hypervisors
-
Installieren einer NetScaler ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer NetScaler ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer NetScaler ADC VPX-Instanz in der VMware Cloud auf AWS
-
Installieren einer NetScaler ADC VPX-Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer NetScaler ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen einer NetScaler ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen NetScaler ADC VPX-Instanz auf AWS
-
Bereitstellen eines VPX-HA-Paar in derselben AWS-Verfügbarkeitszone
-
Bereitstellen eines VPX Hochverfügbarkeitspaars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen einer NetScaler ADC VPX-Instanz auf AWS Outposts
-
Konfigurieren einer NetScaler ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer NetScaler ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer NetScaler ADC VPX-Instanz auf Microsoft Azure
-
Netzwerkarchitektur für NetScaler ADC VPX-Instanzen auf Microsoft Azure
-
Mehrere IP-Adressen für eine eigenständige NetScaler ADC VPX-Instanz konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs über PowerShell-Befehle konfigurieren
-
NetScaler ADC VPX-Instanz für beschleunigte Azure-Netzwerke konfigurieren
-
HA-INC-Knoten über die Citrix Hochverfügbarkeitsvorlage mit Azure ILB konfigurieren
-
NetScaler ADC VPX-Instanz auf der Azure VMware-Lösung installieren
-
Konfigurieren von GSLB in einem Active-Standby-Hochverfügbarkeitssetup
-
Konfigurieren von Adresspools (IIP) für eine NetScaler Gateway Appliance
-
NetScaler ADC VPX-Instanz auf der Google Cloud Platform bereitstellen
-
Bereitstellung und Konfigurationen von NetScaler ADC automatisieren
-
Lösungen für Telekommunikationsdienstleister
-
Authentifizierung, Autorisierung und Überwachung des Anwendungsverkehrs
-
Wie Authentifizierung, Autorisierung und Auditing funktionieren
-
Grundkomponenten der Authentifizierung, Autorisierung und Audit-Konfiguration
-
Lokal NetScaler Gateway als Identitätsanbieter für Citrix Cloud
-
Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration für häufig verwendete Protokolle
-
-
-
-
Konfigurieren von erweiterten Richtlinienausdrücken: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Zeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream-Analytics-Funktionen
-
Zusammenfassende Beispiele für Standardsyntaxausdrücke und -richtlinien
-
Tutorial Beispiele für Standardsyntaxrichtlinien für Rewrite
-
Migration von Apache mod_rewrite-Regeln auf die Standardsyntax
-
-
-
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken für virtuelle Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkte Richtlinieneinschläge auf den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
-
Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse
-
-
Unterstützung für NetScaler ADC-Konfiguration in einem Cluster
-
Verwalten des NetScaler ADC Clusters
-
Knotengruppen für gepunktete und teilweise gestreifte Konfigurationen
-
Entfernen eines Knotens aus einem Cluster, der mit Cluster-Link-Aggregation bereitgestellt wird
-
Überwachen von Fehlern bei der Befehlsausbreitung in einer Clusterbereitstellung
-
VRRP-Interface-Bindung in einem aktiven Cluster mit einem einzigen Knoten
-
-
-
Konfigurieren von NetScaler ADC als nicht-validierenden sicherheitsbewussten Stub-Resolver
-
Jumbo-Frames Unterstützung für DNS zur Handhabung von Reaktionen großer Größen
-
Zwischenspeichern von EDNS0-Client-Subnetzdaten bei einer NetScaler ADC-Appliance im Proxymodus
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domänennamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-Adressbasierten Autoscale-Dienstgruppe
-
-
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Angegebene Quell-IP für die Back-End-Kommunikation verwenden
-
Quellport aus einem bestimmten Portbereich für die Back-End-Kommunikation verwenden
-
Quell-IP-Persistenz für Back-End-Kommunikation konfigurieren
-
Lokale IPv6-Linkadressen auf der Serverseite eines Load Balancing-Setups
-
Erweiterte Load Balancing-Einstellungen
-
Allmählich die Belastung eines neuen Dienstes mit virtuellem Server-Level erhöhen
-
Anwendungen vor Verkehrsspitzen auf geschützten Servern schützen
-
Bereinigung von virtuellen Server- und Dienstverbindungen ermöglichen
-
Persistenzsitzung auf TROFS-Diensten aktivieren oder deaktivieren
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Quell-IP-Adresse des Clients beim Verbinden mit dem Server verwenden
-
Limit für die Anzahl der Anfragen pro Verbindung zum Server festlegen
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Grenzwert für die Bandbreitenauslastung durch Clients festlegen
-
-
-
Lastausgleichs für häufig verwendete Protokolle konfigurieren
-
Anwendungsfall 5: DSR-Modus beim Verwenden von TOS konfigurieren
-
Anwendungsfall 6: Lastausgleich im DSR-Modus für IPv6-Netzwerke mit dem TOS-Feld konfigurieren
-
Anwendungsfall 7: Konfiguration des Lastenausgleichs im DSR-Modus mithilfe von IP Over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Lastausgleich im Inlinemodus konfigurieren
-
Anwendungsfall 10: Lastausgleich von Intrusion-Detection-System-Servern
-
Anwendungsfall 11: Netzwerkverkehr mit Listenrichtlinien isolieren
-
Anwendungsfall 12: Citrix Virtual Desktops für den Lastausgleich konfigurieren
-
Anwendungsfall 13: Citrix Virtual Apps für den Lastausgleich konfigurieren
-
Anwendungsfall 14: ShareFile-Assistent zum Lastausgleich Citrix ShareFile
-
Anwendungsfall 15: Layer-4-Lastausgleich auf der NetScaler ADC-Appliance konfigurieren
-
SSL-Offload und Beschleunigung
-
Unterstützung des TLSv1.3-Protokolls wie in RFC 8446 definiert
-
Unterstützungsmatrix für Serverzertifikate auf der ADC-Appliance
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Thales Luna Network Hardwaresicherheitsmodul
-
-
-
-
CloudBridge Connector-Tunnels zwischen zwei Rechenzentren konfigurieren
-
CloudBridge Connector zwischen Datacenter und AWS Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen einem Rechenzentrum und Azure Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud konfigurieren
-
-
Konfigurationsdateien in einem Hochverfügbarkeitssetup synchronisieren
-
Hochverfügbarkeitsknoten in verschiedenen Subnetzen konfigurieren
-
Beschränken von Failovers, die durch Routenmonitore im Nicht-INC-Modus verursacht werden
-
HA-Heartbeat-Meldungen auf einer NetScaler ADC-Appliance verwalten
-
NetScaler ADC in einem Hochverfügbarkeitssetup entfernen und ersetzen
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Sichere Lastenausgleichung durch Verwendung von SSL
Die Offload-Funktion von Citrix ADC SSL verbessert die Leistung von Websites, die SSL-Transaktionen durchführen, transparent. Durch das Verschieben von CPU-intensiven SSL-Verschlüsselungs- und Entschlüsselungsaufgaben vom lokalen Webserver auf die Appliance gewährleistet SSL-Offload die sichere Bereitstellung von Webanwendungen ohne Leistungseinbußen, die bei der Verarbeitung der SSL-Daten durch den Server entstehen. Sobald der SSL-Datenverkehr entschlüsselt ist, kann er von allen Standarddiensten verarbeitet werden. Das SSL-Protokoll arbeitet nahtlos mit verschiedenen Arten von HTTP- und TCP-Daten und bietet einen sicheren Kanal für Transaktionen, die solche Daten verwenden.
Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Anschließend konfigurieren Sie HTTP- oder TCP-Dienste und einen virtuellen SSL-Server auf der Appliance und binden die Dienste an den virtuellen Server. Sie müssen auch ein Zertifikatschlüsselpaar hinzufügen und es an den virtuellen SSL-Server binden. Wenn Sie Outlook Web Access-Server verwenden, müssen Sie eine Aktion zum Aktivieren der SSL-Unterstützung und eine Richtlinie zum Anwenden der Aktion erstellen. Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mithilfe eines ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet dann die entschlüsselten Daten zur entsprechenden Verarbeitung an die anderen Entitäten auf der Appliance weiter.
Ausführliche Informationen zum SSL-Offloading finden Sie unter SSL-Offload und Beschleunigung.
SSL-Konfigurations-Tasksequenz
Um SSL zu konfigurieren, müssen Sie es zuerst aktivieren. Anschließend müssen Sie einen virtuellen SSL-Server und HTTP- oder TCP-Dienste auf der Citrix ADC Appliance erstellen. Schließlich müssen Sie ein gültiges SSL-Zertifikat und die konfigurierten Dienste an den virtuellen SSL-Server binden.
Ein virtueller SSL-Server fängt eingehenden verschlüsselten Datenverkehr ab und entschlüsselt ihn mit einem ausgehandelten Algorithmus. Der virtuelle SSL-Server leitet dann die entschlüsselten Daten zur entsprechenden Verarbeitung an die anderen Entitäten auf der Citrix ADC Appliance weiter.
Das folgende Flussdiagramm zeigt die Reihenfolge der Aufgaben zum Konfigurieren einer grundlegenden SSL-Offload-Setup.
Abbildung 1. Abfolge von Tasks zum Konfigurieren von SSL-Offload
SSL-Offload aktivieren
Aktivieren Sie zuerst die SSL-Funktion. Sie können SSL-basierte Entitäten auf der Appliance konfigurieren, ohne die SSL-Funktion zu aktivieren. Diese funktionieren jedoch erst, wenn Sie SSL aktivieren.
Aktivieren von SSL über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um SSL-Offload zu aktivieren und die Konfiguration zu überprüfen:
- enable ns feature SSL
- show ns feature
<!--NeedCopy-->
Beispiel:
> enable ns feature ssl
Done
> show ns feature
Feature Acronym Status
------- ------- ------
1) Web Logging WL ON
2) SurgeProtection SP OFF
3) Load Balancing LB ON . . .
9) SSL Offloading SSL ON
10) Global Server Load Balancing GSLB ON . .
Done >
<!--NeedCopy-->
Aktivieren von SSL über die GUI
Führen Sie die folgenden Schritte aus:
- Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Einstellungen.
- Klicken Sie im Detailbereich unter Modi und Funktionenauf Grundfunktionen ändern.
- Aktivieren Sie das Kontrollkästchen SSL Offloading, und klicken Sie dann auf OK.
- In der Funktion (en) aktivieren/deaktivieren? meldungsfeld, klicken Sie auf Ja.
HTTP-Dienste erstellen
Ein Dienst auf der Appliance stellt eine Anwendung auf einem Server dar. Nach der Konfiguration befinden sich die Dienste im deaktivierten Zustand, bis die Appliance den Server im Netzwerk erreichen und den Status überwachen kann. In diesem Artikel werden die Schritte zum Erstellen eines HTTP-Dienstes behandelt.
Hinweis: Führen Sie für TCP-Datenverkehr die folgenden Verfahren aus, erstellen Sie jedoch TCP-Dienste anstelle von HTTP-Diensten.
Hinzufügen eines HTTP-Dienstes über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen HTTP-Dienst hinzuzufügen und die Konfiguration zu überprüfen:
- add service <name> (<IP> | <serverName>) <serviceType> <port>
- show service <name>
<!--NeedCopy-->
Beispiel:
> add service SVC_HTTP1 10.102.29.18 HTTP 80
Done
> show service SVC_HTTP1
SVC_HTTP1 (10.102.29.18:80) - HTTP
State: UP
Last state change was at Wed Jul 15 06:13:05 2009
Time since last state change: 0 days, 00:00:15.350
Server Name: 10.102.29.18
Server ID : 0 Monitor Threshold : 0
Max Conn: 0 Max Req: 0 Max Bandwidth: 0 kbits
Use Source IP: NO
Client Keepalive(CKA): NO
Access Down Service: NO
TCP Buffering(TCPB): NO
HTTP Compression(CMP): YES
Idle timeout: Client: 180 sec Server: 360 sec
Client IP: DISABLED
Cacheable: NO
SC: OFF
SP: OFF
Down state flush: ENABLED
1) Monitor Name: tcp-default
State: UP Weight: 1
Probes: 4 Failed [Total: 0 Current: 0]
Last response: Success - TCP syn+ack received.
Response Time: N/A
Done
<!--NeedCopy-->
Hinzufügen eines HTTP-Dienstes mit der GUI
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL Offload > Services.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld Dienst erstellen den Namen des Dienstes, die IP-Adresse und den Port ein (z. B. SVC_HTTP1, 10.102.29.18 und 80).
- Wählen Sie in der Liste Protokoll den Typ des Dienstes aus (z. B. HTTP).
- Klicken Sie auf Erstellenund dann auf Schließen. Der konfigurierte HTTP-Dienst wird auf der Seite Dienste angezeigt.
- Überprüfen Sie, ob die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den Dienst auswählen und den Abschnitt Details am unteren Rand des Bereichs anzeigen.
Hinzufügen eines SSL-basierten virtuellen Servers
In einem einfachen SSL-Offload-Setup fängt der virtuelle SSL-Server verschlüsselten Datenverkehr ab, entschlüsselt ihn und sendet die Klartextnachrichten an die Dienste, die an den virtuellen Server gebunden sind. Durch das Verschieben der CPU-intensiven SSL-Verarbeitung an die Appliance können die Back-End-Server eine größere Anzahl von Anforderungen verarbeiten.
Hinzufügen eines SSL-basierten virtuellen Servers mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen SSL-basierten virtuellen Server zu erstellen und die Konfiguration zu überprüfen:
- add lb vserver <name> <serviceType> [<IPAddress> <port>]
- show lb vserver <name>
<!--NeedCopy-->
Achtung: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.
Beispiel:
> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443
Done
> show lb vserver vserver-SSL-1
vserver-SSL-1 (10.102.29.50:443) - SSL Type: ADDRESS
State: DOWN[Certkey not bound] Last state change was at Tue Jun 16 06:33:08 2009 (+176 ms)
Time since last state change: 0 days, 00:03:44.120
Effective State: DOWN Client Idle Timeout: 180 sec
Down state flush: ENABLED
Disable Primary Vserver On Down : DISABLED
No. of Bound Services : 0 (Total) 0 (Active)
Configured Method: LEASTCONNECTION Mode: IP
Persistence: NONE
Vserver IP and Port insertion: OFF
Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule: Done
<!--NeedCopy-->
Hinzufügen eines SSL-basierten virtuellen Servers über die GUI
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL Offload > Virtuelle Server.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld Virtuellen Server erstellen (SSL-Offload) den Namen des virtuellen Servers, die IP-Adresse und den Port ein.
- Wählen Sie in der Liste Protokoll den Typ des virtuellen Servers aus, z. B.
- Klicken Sie auf Erstellenund dann auf Schließen.
- Stellen Sie sicher, dass die von Ihnen konfigurierten Parameter korrekt konfiguriert sind, indem Sie den virtuellen Server auswählen und den Abschnitt Details unten im Bereich anzeigen. Der virtuelle Server ist als DOWN gekennzeichnet, da ein Zertifikatschlüsselpaar und Dienste nicht an ihn gebunden sind.
Achtung: Um sichere Verbindungen zu gewährleisten, müssen Sie ein gültiges SSL-Zertifikat an den SSL-basierten virtuellen Server binden, bevor Sie es aktivieren.
Binden von Diensten an den virtuellen SSL-Server
Nach dem Entschlüsseln der eingehenden Daten leitet der virtuelle SSL-Server die Daten an die Dienste weiter, die Sie an den virtuellen Server gebunden haben.
Die Datenübertragung zwischen der Appliance und den Servern kann verschlüsselt oder in Klartext erfolgen. Wenn die Datenübertragung zwischen der Appliance und den Servern verschlüsselt ist, ist die gesamte Transaktion von Ende zu Ende sicher. Weitere Informationen zum Konfigurieren des Systems für End-to-End-Sicherheit finden Sie unter SSL-Offload and Acceleration.
Binden eines Dienstes an einen virtuellen Server mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Dienst an den virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:
- bind lb vserver <name> <serviceName>
- show lb vserver <name>
<!--NeedCopy-->
Beispiel:
> bind lb vserver vserver-SSL-1 SVC_HTTP1
Done
> show lb vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) - SSL Type:
ADDRESS State: DOWN[Certkey not bound]
Last state change was at Tue Jun 16 06:33:08 2009 (+174 ms)
Time since last state change: 0 days, 00:31:53.70
Effective State: DOWN Client Idle
Timeout: 180 sec
Down state flush: ENABLED Disable Primary Vserver On Down :
DISABLED No. of Bound Services : 1 (Total) 0 (Active)
Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP and
Port insertion: OFF Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule:
1) SVC_HTTP1 (10.102.29.18: 80) - HTTP
State: DOWN Weight: 1
Done
<!--NeedCopy-->
Binden eines Dienstes an einen virtuellen Server mit der GUI
- Navigieren Sie zu Traffic Management > SSL Offload > Virtuelle Server.
- Wählen Sie im Detailbereich einen virtuellen Server aus, und klicken Sie dann auf Öffnen.
- Aktivieren Sie auf der Registerkarte Dienste in der Spalte Aktiv die Kontrollkästchen neben den Diensten, die Sie an den ausgewählten virtuellen Server binden möchten.
- Klicken Sie auf OK.
- Stellen Sie sicher, dass der Leistungsindikator Anzahl gebundener Dienste im Abschnitt Details am unteren Rand des Bereichs um die Anzahl der Dienste erhöht wird, die Sie an den virtuellen Server gebunden haben.
Hinzufügen eines Zertifikatschlüsselpaars
Ein SSL-Zertifikat ist ein integraler Bestandteil des SSL-Schlüsselaustausch- und Verschlüsselungs-/Entschlüsselungsprozesses. Das Zertifikat wird während eines SSL-Handshake verwendet, um die Identität des SSL-Servers zu ermitteln. Sie können ein gültiges, vorhandenes SSL-Zertifikat verwenden, das Sie auf der Citrix ADC Appliance haben, oder Sie können ein eigenes SSL-Zertifikat erstellen. Die Appliance unterstützt RSA-Zertifikate mit bis zu 4096 Bit.
ECDSA-Zertifikate mit nur den folgenden Kurven werden unterstützt:
- prime256v1 (P_256 im ADC)
- secp384r1 (P_384 im ADC)
- secp521r1 (P_521 im ADC; nur auf VPX unterstützt)
- secp224r1 (P_224 im ADC; nur auf VPX unterstützt)
Hinweis: Citrix empfiehlt, dass Sie ein gültiges SSL-Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Ungültige Zertifikate und selbst erstellte Zertifikate sind nicht mit allen SSL-Clients kompatibel.
Bevor ein Zertifikat für die SSL-Verarbeitung verwendet werden kann, müssen Sie es mit dem entsprechenden Schlüssel koppeln. Das Zertifikatschlüsselpaar wird dann an den virtuellen Server gebunden und für die SSL-Verarbeitung verwendet.
Hinzufügen eines Zertifikatsschlüsselpaars über die CLI
Hinweis: Informationen zum Erstellen eines ECDSA-Zertifikatschlüsselpaars finden Sie unter Erstellen eines ECDSA-Zertifikatschlüsselpaars.
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein Zertifikatschlüsselpaar zu erstellen und die Konfiguration zu überprüfen:
- add ssl certKey <certkeyName> -cert <string> [-key <string>]
- show sslcertkey <name>
<!--NeedCopy-->
Beispiel:
> add ssl certKey CertKey-SSL-1 -cert ns-root.cert -key ns-root.key
Done
> show sslcertkey CertKey-SSL-1
Name: CertKey-SSL-1 Status: Valid,
Days to expiration:4811 Version: 3
Serial Number: 00 Signature Algorithm: md5WithRSAEncryption Issuer: C=US,ST=California,L=San
Jose,O=Citrix ANG,OU=NS Internal,CN=de fault
Validity Not Before: Oct 6 06:52:07 2006 GMT Not After : Aug 17 21:26:47 2022 GMT
Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault Public Key
Algorithm: rsaEncryption Public Key
size: 1024
Done
<!--NeedCopy-->
Hinzufügen eines Zertifikatsschlüsselpaars über die GUI
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL > Zertifikate.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld Zertifikat installieren im Textfeld Certificate-Key Pair Name einen Namen für das Zertifikatschlüsselpaar ein, das Sie hinzufügen möchten, z. B. Certkey-SSL-1.
- Klicken Sie unter Details in Zertifikatdateiname auf Durchsuchen (Appliance), um das Zertifikat zu finden. Sowohl das Zertifikat als auch der Schlüssel werden im Ordner /nsconfig/ssl/ der Appliance gespeichert. Um ein Zertifikat auf dem lokalen System zu verwenden, wählen Sie Lokal aus.
- Wählen Sie das Zertifikat aus, das Sie verwenden möchten, und klicken Sie dann auf Auswählen.
- Klicken Sie unter Dateiname des privaten Schlüssels auf Durchsuchen (Appliance), um die Datei mit dem privaten Schlüssel zu suchen. Um einen privaten Schlüssel auf dem lokalen System zu verwenden, wählen Sie Lokal aus.
- Wählen Sie den Schlüssel aus, den Sie verwenden möchten, und klicken Sie auf Auswählen. Um den im Zertifikatschlüsselpaar verwendeten Schlüssel zu verschlüsseln, geben Sie das Kennwort für die Verschlüsselung in das Textfeld Kennwort ein.
- Klicken Sie auf Installieren.
- Doppelklicken Sie auf das Zertifikatschlüsselpaar, und überprüfen Sie im Fenster Zertifikatdetails, ob die Parameter korrekt konfiguriert und gespeichert wurden.
Binden eines SSL-Zertifikatsschlüsselpaars an den virtuellen Server
Nachdem Sie ein SSL-Zertifikat mit dem entsprechenden Schlüssel gekoppelt haben, binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server, damit es für die SSL-Verarbeitung verwendet werden kann. Sichere Sitzungen erfordern die Einrichtung einer Verbindung zwischen dem Clientcomputer und einem SSL-basierten virtuellen Server auf der Appliance. Die SSL-Verarbeitung erfolgt dann auf dem eingehenden Datenverkehr auf dem virtuellen Server. Bevor Sie den virtuellen SSL-Server auf der Appliance aktivieren, müssen Sie daher ein gültiges SSL-Zertifikat an den virtuellen SSL-Server binden.
Binden Sie ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server zu binden und die Konfiguration zu überprüfen:
- bind ssl vserver <vServerName> -certkeyName <string>
- show ssl vserver <name>
<!--NeedCopy-->
Beispiel:
> bind ssl vserver Vserver-SSL-1 -certkeyName CertKey-SSL-1
Done
> show ssl vserver Vserver-SSL-1
Advanced SSL configuration for VServer Vserver-SSL-1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: ENABLED
SSLv2 Redirect: ENABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: CertKey-SSL-1 Server Certificate
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Binden Sie ein SSL-Zertifikatsschlüsselpaar an einen virtuellen Server über die GUI
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL Offload > Virtuelle Server.
- Wählen Sie den virtuellen Server aus, an den Sie das Zertifikatschlüsselpaar binden möchten, z. B. vServer-SSL-1, und klicken Sie auf Öffnen.
- Wählen Sie im Dialogfeld Configure Virtual Server (SSL Offload) auf der Registerkarte SSL-Einstellungen unter Verfügbardas Zertifikatschlüsselpaar aus, das Sie an den virtuellen Server binden möchten. Klicken Sie dann auf Hinzufügen.
- Klicken Sie auf OK.
- Stellen Sie sicher, dass das ausgewählte Zertifikatschlüsselpaar im Bereich Konfiguriert angezeigt wird.
Konfigurieren der Unterstützung für Outlook-Webzugriff
Wenn Sie Outlook Web Access-Server (OWA-Server) auf der Citrix ADC Appliance verwenden, müssen Sie die Appliance so konfigurieren, dass ein spezielles Header-Feld FRONT-END-HTTPS: ON in HTTP-Anforderungen eingefügt wird, die an die OWA-Server weitergeleitet werden, sodass die Server URL-Linkshttps:// anstelle von http://.
Hinweis: Sie können die OWA-Unterstützung nur für virtuelle SSL-Server und -Dienste auf HTTP-Basis aktivieren. Sie können es nicht für virtuelle TCP-basierte SSL-Server und -Dienste anwenden.
Gehen Sie folgendermaßen vor, um die OWA-Unterstützung zu konfigurieren:
- Erstellen Sie eine SSL-Aktion, um die OWA-Unterstützung zu aktivieren.
- Erstellen Sie eine SSL-Richtlinie.
- Binden Sie die Richtlinie an den virtuellen SSL-Server.
Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung
Bevor Sie die Unterstützung von Outlook Web Access (OWA) aktivieren können, müssen Sie eine SSL-Aktion erstellen. SSL-Aktionen sind an SSL-Richtlinien gebunden und werden ausgelöst, wenn eingehende Daten mit der in der Richtlinie angegebenen Regel übereinstimmen.
Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Aktion zu erstellen, um die OWA-Unterstützung zu aktivieren und die Konfiguration zu überprüfen:
- add ssl action <name> -OWASupport ENABLED
- show SSL action <name>
<!--NeedCopy-->
Beispiel:
> add ssl action Action-SSL-OWA -OWASupport enabled
Done
> show SSL action Action-SSL-OWA
Name: Action-SSL-OWA
Data Insertion Action: OWA
Support: ENABLED
Done
<!--NeedCopy-->
Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung mit der GUI
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL > Richtlinien.
- Klicken Sie im Detailbereich auf der Registerkarte Aktionen auf Hinzufügen.
- Geben Sie im Dialogfeld Create SSL Action im Textfeld Name den Namen Action-SSL-OWA ein.
- Wählen Sie unter Outlook Web Access die Option Aktiviertaus.
- Klicken Sie auf Erstellenund dann auf Schließen.
- Stellen Sie sicher, dass Action-SSL-OWA auf der Seite SSL-Aktionen angezeigt wird.
Erstellen von SSL-Richtlinien
SSL-Richtlinien werden mithilfe der Richtlinieninfrastruktur erstellt. An jede SSL-Richtlinie ist eine SSL-Aktion gebunden, und die Aktion wird ausgeführt, wenn eingehender Datenverkehr mit der Regel übereinstimmt, die in der Richtlinie konfiguriert wurde.
Erstellen einer SSL-Richtlinie mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie zu konfigurieren und die Konfiguration zu überprüfen:
- add ssl policy <name> -rule <expression> -reqAction <string>
- show ssl policy <name>
<!--NeedCopy-->
Beispiel:
> add ssl policy Policy-SSL-1 -rule ns_true -reqaction Action-SSL-OWA
Done
> show ssl policy Policy-SSL-1
Name: Policy-SSL-1 Rule: ns_true
Action: Action-SSL-OWA Hits: 0
Policy is bound to following entities
1) PRIORITY : 0
Done
<!--NeedCopy-->
Erstellen einer SSL-Richtlinie über die GUI
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL > Richtlinien.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld Create SSL Policy im Textfeld Name den Namen der SSL-Richtlinie ein (z. B. Policy-SSL-1).
- Wählen Sie unter “Aktion anfordern “ die konfigurierte SSL-Aktion aus, die Sie dieser Richtlinie zuordnen möchten (z. B. Action-SSL-OWA). Der allgemeine Ausdruck ns_true wendet die Richtlinie auf alle erfolgreichen SSL-Handshake-Datenverkehr an. Um bestimmte Antworten zu filtern, können Sie jedoch Richtlinien mit einer höheren Detailgenauigkeit erstellen. Weitere Informationen zum Konfigurieren granularer Richtlinienausdrücke finden Sie unter SSL-Aktionen und Richtlinien.
- Wählen Sie in Benannte Ausdrückeden integrierten allgemeinen Ausdruck ns_true aus und klicken Sie auf Ausdruck hinzufügen. Der Ausdruck ns_true wird jetzt im Textfeld Ausdruck angezeigt.
- Klicken Sie auf Erstellenund dann auf Schließen.
- Überprüfen Sie, ob die Richtlinie korrekt konfiguriert ist, indem Sie die Richtlinie auswählen und den Abschnitt Details unten im Bereich.
Binden Sie die SSL-Richtlinie an den virtuellen SSL-Server
Nachdem Sie eine SSL-Richtlinie für Outlook Web Access konfiguriert haben, binden Sie die Richtlinie an einen virtuellen Server, der eingehenden Outlook-Datenverkehr abfängt. Wenn die eingehenden Daten einer der in der SSL-Richtlinie konfigurierten Regeln entsprechen, wird die Richtlinie ausgelöst und die damit verbundene Aktion ausgeführt.
Binden einer SSL-Richtlinie an einen virtuellen SSL-Server über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine SSL-Richtlinie an einen virtuellen SSL-Server zu binden und die Konfiguration zu überprüfen:
- bind ssl vserver <vServerName> -policyName <string>
- show ssl vserver <name>
<!--NeedCopy-->
Beispiel:
> bind ssl vserver Vserver-SSL-1 -policyName Policy-SSL-1
Done
> show ssl vserver Vserver-SSL-1
Advanced SSL configuration for VServer Vserver-SSL-1:
DH: DISABLED
Ephemeral RSA: ENABLED
Refresh Count: 0
Session Reuse: ENABLED
Timeout: 120 seconds
Cipher Redirect: ENABLED
SSLv2 Redirect: ENABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: CertKey-SSL-1 Server Certificate
1) Policy Name: Policy-SSL-1 Priority: 0
1) Cipher Name: DEFAULT Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Binden einer SSL-Richtlinie an einen virtuellen SSL-Server über die GUI
Führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Traffic Management > SSL Offload > Virtuelle Server.
- Wählen Sie im Detailbereich den virtuellen Server (z. B. vServer-SSL-1) aus, und klicken Sie dann auf Öffnen.
- Klicken Sie im Dialogfeld Configure Virtual Server (SSL Offload) auf Policy einfügen, und wählen Sie dann die Richtlinie aus, die Sie an den virtuellen SSL-Server binden möchten. Optional können Sie auf das Feld Priorität doppelklicken und eine neue Prioritätsstufe eingeben.
- Klicken Sie auf OK.
Teilen
Teilen
In diesem Artikel
- SSL-Konfigurations-Tasksequenz
- SSL-Offload aktivieren
- HTTP-Dienste erstellen
- Hinzufügen eines SSL-basierten virtuellen Servers
- Binden von Diensten an den virtuellen SSL-Server
- Hinzufügen eines Zertifikatschlüsselpaars
- Binden eines SSL-Zertifikatsschlüsselpaars an den virtuellen Server
- Konfigurieren der Unterstützung für Outlook-Webzugriff
- Erstellen einer SSL-Aktion zum Aktivieren der OWA-Unterstützung
- Erstellen von SSL-Richtlinien
- Binden Sie die SSL-Richtlinie an den virtuellen SSL-Server
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.