ADC

Konfigurieren Sie die SSL-Aktion, um den Client-Verkehr weiterzuleiten, wenn eine Chiffre auf dem ADC nicht unterstützt wird

January 11, 2024

Beitrag von:

Wenn Sie in der Client-Hello-Nachricht eine Verschlüsselung erhalten, die vom ADC nicht unterstützt wird, können Sie eine SSL-Aktion konfigurieren, um den Clientverkehr an einen anderen virtuellen Server weiterzuleiten. Wenn Sie kein SSL-Offload wünschen, konfigurieren Sie diesen virtuellen Server vom Typ TCP oder SSL_BRIDGE. Es gibt keinen SSL-Offload auf dem ADC und dieser Datenverkehr wird umgangen. Konfigurieren Sie für SSL-Offload einen virtuellen SSL-Server als virtuellen Forward-Server.

Gehen Sie wie folgt vor:

Fügen Sie einen virtuellen Lastausgleichsserver vom Typ SSL hinzu. Client-Verkehr wird auf diesem virtuellen Server empfangen.
Binden Sie einen SSL-Dienst an diesen virtuellen Server.
Fügen Sie einen virtuellen Lastausgleichsserver vom Typ TCP hinzu. Hinweis: Die IP-Adresse oder Portnummer ist für den virtuellen Server, an den der Datenverkehr weitergeleitet wird, nicht obligatorisch.
Fügen Sie einen TCP-Dienst mit Port 443 hinzu.
Binden Sie diesen Dienst an den zuvor erstellten virtuellen TCP-Server.
Fügen Sie eine SSL-Aktion hinzu, die den virtuellen TCP-Server im Parameter ‘forward’ angibt.
Fügen Sie eine SSL-Richtlinie hinzu, die die vorherige Aktion angibt, wenn die spezifische Verschlüsselungssuite (identifiziert durch ihren Hex-Code) in der Client-Hello-Nachricht empfangen wird.
Binden Sie diese Richtlinie an den virtuellen SSL-Server.
Speichern Sie die Konfiguration.

Konfiguration mit der CLI

add service ssl-service 10.102.113.155 SSL 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
add lb vserver v2 TCP
add service tcp-service 10.102.113.150 TCP 443
bind lb vserver v2 tcp-service
add ssl action act1 -forward v2
add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
<!--NeedCopy-->

sh ssl vserver v1

    Advanced SSL configuration for VServer v1:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120 seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: ENABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate


    Data policy
1)  Policy Name: pol2   Priority: 1



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit
 Done
sh ssl policy pol2
    Name: pol2
    Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f)
    Action: act1
    UndefAction: Use Global
    Hits: 0
    Undef Hits: 0


    Policy is bound to following entities
1)  Bound to: CLIENTHELLO_REQ VSERVER v1
    Priority: 1

 Done
<!--NeedCopy-->

sh ssl action act1
1)  Name: act1
    Type: Data Insertion
    Forward to: v2
    Hits: 0
    Undef Hits: 0
    Action Reference Count: 1
 Done
<!--NeedCopy-->

sh ssl vserver v2

    Advanced SSL configuration for VServer v2:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120    seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit
<!--NeedCopy-->

Konfiguration mit der GUI

Erstellen Sie einen virtuellen TCP-Server:

Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server .
Erstellen Sie einen virtuellen TCP-Server.
Klicken Sie in den Abschnitt Dienste und Dienstgruppen und fügen Sie einen TCP-Dienst hinzu oder binden Sie einen vorhandenen Dienst.
Klicken Sie auf Bind.
Klicken Sie auf Weiter.

Erstellen Sie einen virtuellen SSL-Server:

Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server .
Erstellen Sie einen weiteren virtuellen SSL-Server.
Klicken Sie in den Abschnitt Dienste und Dienstgruppen und fügen Sie einen neuen SSL-Dienst hinzu oder binden Sie einen vorhandenen Dienst.
Klicken Sie auf Bind.
Klicken Sie auf Weiter.
Klicken Sie in den Bereich Zertifikat und binden Sie ein Serverzertifikat.
Klicken Sie auf Weiter.
Klicken Sie in den erweiterten Einstellungen auf SSL-Richtlinien .
Klicken Sie in den Abschnitt SSL-Richtlinie , um eine bestehende Richtlinie hinzuzufügen oder auszuwählen.
**Klicken Sie unter Richtlinienbindung auf **Hinzufügen und geben Sie einen Namen für die Richtlinie an.
Klicken Sie unter Aktion auf Hinzufügen.
Geben Sie einen Namen für die SSL-Aktion an. Wählen Sie unter Forward Action Virtual Server den zuvor erstellten virtuellen TCP-Server aus.
Klicken Sie auf Erstellen.
Geben Sie CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (Hex-Code der nicht unterstützten Chiffre) im Ausdruck an.
Klicken Sie auf Fertig.
Konfigurieren Sie in der Richtlinie einen Ausdruck, um den Datenverkehr für die nicht unterstützte Verschlüsselung auszuwerten.
Binden Sie die Aktion an die Richtlinie und die Richtlinie an den virtuellen SSL-Server. Geben Sie den Bindepunkt CLIENTHELLO_REQ an.
Klicken Sie auf Fertig.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

NetScaler Secure Deployment Guide

Konfigurieren Sie die SSL-Aktion, um den Client-Verkehr weiterzuleiten, wenn eine Chiffre auf dem ADC nicht unterstützt wird

January 11, 2024

Beitrag von:

January 11, 2024

Beitrag von:

War dieser Artikel hilfreich?

NetScaler Secure Deployment Guide