Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Konfigurieren Sie die SSL-Aktion, um den Client-Verkehr weiterzuleiten, wenn eine Chiffre auf dem ADC nicht unterstützt wird
Wenn Sie in der Client-Hello-Nachricht eine Verschlüsselung erhalten, die vom ADC nicht unterstützt wird, können Sie eine SSL-Aktion konfigurieren, um den Clientverkehr an einen anderen virtuellen Server weiterzuleiten. Wenn Sie kein SSL-Offload wünschen, konfigurieren Sie diesen virtuellen Server vom Typ TCP oder SSL_BRIDGE. Es gibt keinen SSL-Offload auf dem ADC und dieser Datenverkehr wird umgangen. Konfigurieren Sie für SSL-Offload einen virtuellen SSL-Server als virtuellen Forward-Server.
Gehen Sie wie folgt vor:
- Fügen Sie einen virtuellen Lastausgleichsserver vom Typ SSL hinzu. Client-Verkehr wird auf diesem virtuellen Server empfangen.
- Binden Sie einen SSL-Dienst an diesen virtuellen Server.
- Fügen Sie einen virtuellen Lastausgleichsserver vom Typ TCP hinzu. Hinweis: Die IP-Adresse oder Portnummer ist für den virtuellen Server, an den der Datenverkehr weitergeleitet wird, nicht obligatorisch.
- Fügen Sie einen TCP-Dienst mit Port 443 hinzu.
- Binden Sie diesen Dienst an den zuvor erstellten virtuellen TCP-Server.
- Fügen Sie eine SSL-Aktion hinzu, die den virtuellen TCP-Server im Parameter ‘forward’ angibt.
- Fügen Sie eine SSL-Richtlinie hinzu, die die vorherige Aktion angibt, wenn die spezifische Verschlüsselungssuite (identifiziert durch ihren Hex-Code) in der Client-Hello-Nachricht empfangen wird.
- Binden Sie diese Richtlinie an den virtuellen SSL-Server.
- Speichern Sie die Konfiguration.
Konfiguration mit der CLI
add service ssl-service 10.102.113.155 SSL 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
add lb vserver v2 TCP
add service tcp-service 10.102.113.150 TCP 443
bind lb vserver v2 tcp-service
add ssl action act1 -forward v2
add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: ENABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: sv Server Certificate
Data policy
1) Policy Name: pol2 Priority: 1
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done
sh ssl policy pol2
Name: pol2
Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f)
Action: act1
UndefAction: Use Global
Hits: 0
Undef Hits: 0
Policy is bound to following entities
1) Bound to: CLIENTHELLO_REQ VSERVER v1
Priority: 1
Done
sh ssl action act1
1) Name: act1
Type: Data Insertion
Forward to: v2
Hits: 0
Undef Hits: 0
Action Reference Count: 1
Done
sh ssl vserver v2
Advanced SSL configuration for VServer v2:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: sv Server Certificate
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Konfiguration mit der GUI
Erstellen Sie einen virtuellen TCP-Server:
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server .
- Erstellen Sie einen virtuellen TCP-Server.
- Klicken Sie in den Abschnitt Dienste und Dienstgruppen und fügen Sie einen TCP-Dienst hinzu oder binden Sie einen vorhandenen Dienst.
- Klicken Sie auf Bind.
- Klicken Sie auf Weiter.
Erstellen Sie einen virtuellen SSL-Server:
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server .
- Erstellen Sie einen weiteren virtuellen SSL-Server.
- Klicken Sie in den Abschnitt Dienste und Dienstgruppen und fügen Sie einen neuen SSL-Dienst hinzu oder binden Sie einen vorhandenen Dienst.
- Klicken Sie auf Bind.
- Klicken Sie auf Weiter.
- Klicken Sie in den Bereich Zertifikat und binden Sie ein Serverzertifikat.
- Klicken Sie auf Weiter.
- Klicken Sie in den erweiterten Einstellungen auf SSL-Richtlinien .
- Klicken Sie in den Abschnitt SSL-Richtlinie , um eine bestehende Richtlinie hinzuzufügen oder auszuwählen.
- **Klicken Sie unter Richtlinienbindung auf **Hinzufügen und geben Sie einen Namen für die Richtlinie an.
- Klicken Sie unter Aktion auf Hinzufügen.
- Geben Sie einen Namen für die SSL-Aktion an. Wählen Sie unter Forward Action Virtual Server den zuvor erstellten virtuellen TCP-Server aus.
- Klicken Sie auf Erstellen.
- Geben Sie CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (Hex-Code der nicht unterstützten Chiffre) im Ausdruck an.
- Klicken Sie auf Fertig.
- Konfigurieren Sie in der Richtlinie einen Ausdruck, um den Datenverkehr für die nicht unterstützte Verschlüsselung auszuwerten.
- Binden Sie die Aktion an die Richtlinie und die Richtlinie an den virtuellen SSL-Server. Geben Sie den Bindepunkt CLIENTHELLO_REQ an.
- Klicken Sie auf Fertig.
Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.
Konfigurieren Sie die SSL-Aktion, um den Client-Verkehr weiterzuleiten, wenn eine Chiffre auf dem ADC nicht unterstützt wird
Kopiert!
Fehler!