Konfigurieren der transparenten SSL-Beschleunigung
Hinweis: Abhängig von Ihrer Bereitstellung müssen Sie möglicherweise den L2-Modus auf der Citrix ADC Appliance aktivieren.
Transparente SSL-Beschleunigung ist nützlich, um mehrere Anwendungen auf einem sicheren Server mit derselben öffentlichen IP auszuführen. Es ist auch nützlich für SSL-Beschleunigung, ohne eine zusätzliche öffentliche IP zu verwenden.
In einem transparenten SSL-Beschleunigungs-Setup ist die Citrix ADC Appliance für den Client transparent. Sie ist transparent, da die IP-Adresse, an der die Appliance Anfragen erhält, mit der IP-Adresse des Webservers übereinstimmt.
Die Citrix ADC Appliance verschiebt SSL-Datenverkehrsverarbeitung vom Webserver und sendet entweder Klartext oder verschlüsselten Datenverkehr (abhängig von der Konfiguration) an den Webserver. Der gesamte andere Datenverkehr ist für die Appliance transparent und wird mit dem Webserver überbrückt. Daher sind andere Anwendungen, die auf dem Server ausgeführt werden, nicht betroffen.
Auf der Appliance stehen drei Modi der transparenten SSL-Beschleunigung zur Verfügung:
- Dienstbasierter transparenter Zugriff, wobei der Diensttyp SSL oder SSL_TCP sein kann.
- Virtueller serverbasierter transparenter Zugriff mit einer Platzhalter-IP-Adresse (*:443).
- SSL VIP-basierter transparenter Zugriff mit End-to-End-Verschlüsselung.
Hinweis: Ein SSL_TCP-Dienst wird für Nicht-HTTPS-Dienste (z. B. SMTPS und IMAPS) verwendet.
Service-basierte transparente SSL-Beschleunigung
Um eine transparente SSL-Beschleunigung im SSL-Dienstmodus zu ermöglichen, konfigurieren Sie einen SSL- oder einen SSL_TCP-Dienst mit der IP-Adresse des eigentlichen Back-End-Webservers. Anstelle eines virtuellen Servers, der SSL-Datenverkehr abfängt und an den Dienst weitergibt, wird der Datenverkehr nun direkt an den Dienst weitergegeben. Der Dienst entschlüsselt den SSL-Verkehr und sendet eindeutige Textdaten an den Back-End-Server.
Im servicebasierten Modus können Sie einzelne Dienste mit einem anderen Zertifikat oder mit einem anderen Klartext-Port konfigurieren. Außerdem können Sie einzelne Dienste für die SSL-Beschleunigung auswählen.
Sie können dienstbasierte transparente SSL-Beschleunigung auf Daten anwenden, die unterschiedliche Protokolle verwenden. Legen Sie dazu den Klartextport des SSL-Dienstes auf den Port fest, an dem die Datenübertragung zwischen dem SSL-Dienst und dem Backend-Server stattfindet.
Um die servicebasierte transparente SSL-Beschleunigung zu konfigurieren, aktivieren Sie zunächst sowohl die SSL- als auch die Lastausgleichsfunktionen. Erstellen Sie dann einen SSL-basierten Dienst und konfigurieren Sie seinen Klartext-Port. Nachdem der Dienst erstellt wurde, erstellen und binden Sie ein Zertifikatschlüsselpaar an diesen Dienst.
Beispiel:
Aktivieren Sie SSL-Abladung und Lastausgleich.
Erstellen Sie einen SSL-basierten Dienst Service-SSL-1 mit der IP-Adresse 10.102.20.30 und Port 443 und konfigurieren Sie den Klartext-Port.
Erstellen Sie als Nächstes ein Zertifikatschlüsselpaar CertKey-1, und binden Sie es an den SSL-Dienst.
Tabelle 1. Entitäten in der servicebasierten transparenten SSL-Beschleunigung
Entität | Name | Wert |
---|---|---|
SSL-Dienst | Service-SSL-1 | 102.20.30 |
Zertifikat - Schlüsselpaar | Certkey-1 | - |
Virtuelle serverbasierte Beschleunigung mit einer Platzhalter-IP-Adresse (*:443)
Verwenden Sie einen virtuellen SSL-Server im Platzhalter-IP-Adressmodus, wenn Sie die SSL-Beschleunigung für mehrere Server aktivieren möchten, die den sicheren Inhalt einer Website hosten. In diesem Modus reicht ein einzelndes digitales Zertifikat für die gesamte sichere Website anstelle eines Zertifikats pro virtuellem Server aus. Infolgedessen ergeben sich erhebliche Kosteneinsparungen bei SSL-Zertifikaten und Verlängerungen. Der Platzhalter-IP-Adressmodus ermöglicht auch die zentralisierte Zertifikatsverwaltung.
Erstellen Sie einen virtuellen Server *:443, um die globale transparente SSL-Beschleunigung auf der Citrix ADC Appliance zu konfigurieren. Dieser virtuelle Server akzeptiert jede IP-Adresse, die mit Port 443 verbunden ist. Binden Sie dann ein gültiges Zertifikat an diesen virtuellen Server und binden Sie auch alle Dienste, an die der virtuelle Server übertragen soll. Ein solcher virtueller Server kann das SSL-Protokoll für HTTP-basierte Daten oder das SSL_TCP-Protokoll für nicht HTTP-basierte Daten verwenden.
Konfigurieren der virtuellen serverbasierten Beschleunigung mit einer Platzhalter-IP-Adresse
- Aktivieren Sie SSL, wie unter SSL aktivierenbeschrieben.
- Aktivieren Sie den Lastenausgleich, wie unter Load Balancingbeschrieben.
- Fügen Sie einen SSL-basierten virtuellen Server hinzu und legen Sie den ClearTextPort-Parameter wie in SSL-Offload-Konfigurationbeschrieben fest.
- Fügen Sie ein Zertifikatschlüsselpaar hinzu, wie unter Ein Zertifikatschlüsselpaar hinzufügen oder aktualisierenbeschrieben.
Hinweis: Der Platzhalterserver lernt automatisch die auf der Appliance konfigurierten Server, sodass Sie keine Dienste für einen virtuellen Platzhalterserver konfigurieren müssen.
Beispiel:
Aktivieren Sie SSL-Abladung und Lastausgleich. Erstellen Sie einen virtuellen SSL-basierten Wildcard-Server mit der IP-Adresse auf * und der Portnummer 443, und konfigurieren Sie den Clear Text-Port (optional).
Wenn Sie den Klartext-Port angeben, werden entschlüsselte Daten an den Back-End-Server auf diesem bestimmten Port gesendet. Andernfalls werden verschlüsselte Daten an Port 443 gesendet.
Erstellen Sie als Nächstes ein SSL-Zertifikatsschlüsselpaar CertKey-1, und binden Sie es an den virtuellen SSL-Server.
Tabelle 2. Entitäten in der virtuellen Server-basierten Beschleunigung mit einer Platzhalter-IP-Adresse Beispiel
Entität | Name | IP-Adresse | Port |
---|---|---|---|
SSL-basierter virtueller Server | Vserver-SSL-Wildcard |
* | 443 |
Zertifikat - Schlüsselpaar | Certkey-1 | - | - |
IP-Adressbasierter transparenter Zugriff auf virtuellen SSL-Servern mit End-to-End-Verschlüsselung
Sie können einen virtuellen SSL-Server für transparenten Zugriff mit End-to-End-Verschlüsselung verwenden, wenn Sie keinen Klartext-Port angegeben haben. In einer solchen Konfiguration wird die Appliance beendet und die gesamte SSL-Verarbeitung ausgelagert. Dann startet es eine sichere SSL-Sitzung und sendet die verschlüsselten Daten anstelle von Klartextdaten an die Webserver. Er sendet diese Daten an den Port, der auf dem virtuellen Platzhalterserver konfiguriert ist.
Hinweis: In diesem Fall wird die SSL-Beschleunigungsfunktion am Back-End mit der Standardkonfiguration ausgeführt, wobei alle 34 Verschlüsselungen verfügbar sind.
Um SSL VIP-basierten transparenten Zugriff mit End-to-End-Verschlüsselung zu konfigurieren, befolgen Sie die Anweisungen zum Konfigurieren einer Virtual Server-basierten Beschleunigung mit einer Platzhalter-IP-Adresse (*:443). Konfigurieren Sie jedoch keinen Klartext-Port auf dem virtuellen Server.