ADC

Transparente SSL-Beschleunigung konfigurieren

Hinweis: Abhängig von Ihrer Bereitstellung müssen Sie möglicherweise den L2-Modus auf der NetScaler-Appliance aktivieren.

Die transparente SSL-Beschleunigung ist nützlich, um mehrere Anwendungen auf einem sicheren Server mit derselben öffentlichen IP auszuführen. Es ist auch nützlich für die SSL-Beschleunigung, ohne eine zusätzliche öffentliche IP zu verwenden.

In einem transparenten SSL-Beschleunigungssetup ist die NetScaler-Appliance für den Client transparent. Es ist transparent, da die IP-Adresse, unter der die Appliance Anfragen empfängt, mit der IP-Adresse des Webservers übereinstimmt.

Die NetScaler-Appliance entlastet die Verarbeitung des SSL-Datenverkehrs vom Webserver und sendet entweder Klartext oder verschlüsselten Datenverkehr (je nach Konfiguration) an den Webserver. Der gesamte andere Datenverkehr ist für die Appliance transparent und wird zum Webserver weitergeleitet. Daher sind andere Anwendungen, die auf dem Server ausgeführt werden, nicht betroffen.

Auf der Appliance sind drei Modi der transparenten SSL-Beschleunigung verfügbar:

  • Dienstbasierter transparenter Zugriff, wobei der Diensttyp SSL oder SSL_TCP sein kann.
  • Virtueller serverbasierter transparenter Zugriff mit einer Wildcard-IP-Adresse (*:443).
  • Transparenter SSL-VIP-Zugang mit Ende-zu-Ende-Verschlüsselung.

Hinweis: Ein SSL_TCP-Dienst wird für Nicht-HTTPS-Dienste verwendet (z. B. SMTPS und IMAPS).

Servicebasierte transparente SSL-Beschleunigung

Um die transparente SSL-Beschleunigung im SSL-Dienstmodus zu aktivieren, konfigurieren Sie einen SSL- oder einen SSL_TCP-Dienst mit der IP-Adresse des tatsächlichen Back-End-Webservers. Anstatt dass ein virtueller Server den SSL-Verkehr abfängt und an den Dienst weiterleitet, wird der Verkehr jetzt direkt an den Dienst weitergeleitet. Der Dienst entschlüsselt den SSL-Verkehr und sendet Klartextdaten an den Backend-Server.

Im dienstbasierten Modus können Sie einzelne Dienste mit einem anderen Zertifikat oder mit einem anderen Klartext-Port konfigurieren. Sie können auch einzelne Dienste für die SSL-Beschleunigung auswählen.

Sie können die dienstbasierte transparente SSL-Beschleunigung auf Daten anwenden, die unterschiedliche Protokolle verwenden. Stellen Sie dazu den Klartext-Port des SSL-Dienstes auf den Port ein, auf dem die Datenübertragung zwischen dem SSL-Dienst und dem Backend-Server stattfindet.

Um die dienstbasierte transparente SSL-Beschleunigung zu konfigurieren, aktivieren Sie zunächst sowohl die SSL- als auch die Load-Balancing-Funktionen. Erstellen Sie dann einen SSL-basierten Dienst und konfigurieren Sie seinen Klartext-Port. Nachdem der Dienst erstellt wurde, erstellen Sie ein Zertifikatsschlüsselpaar und binden Sie es an diesen Dienst.

Beispiel:

Aktivieren Sie SSL-Offloading und Load Balancing.

Erstellen Sie einen SSL-basierten Dienst, Service-SSL-1, mit der IP-Adresse 10.102.20.30 unter Verwendung von Port 443 und konfigurieren Sie seinen Klartext-Port.

Erstellen Sie als Nächstes ein Zertifikatsschlüsselpaar, CertKey-1, und binden Sie es an den SSL-Dienst.

Tabelle 1. Entitäten in der dienstbasierten transparenten SSL-Beschleunigung

Entität Name Wert
SSL-Dienst Service-SSL-1 102.20.30
Zertifikat — Schlüsselpaar Certkey-1 -

Virtuelle serverbasierte Beschleunigung mit einer Wildcard-IP-Adresse (*:443)

Verwenden Sie einen virtuellen SSL-Server im Wildcard-IP-Adressmodus, wenn Sie die SSL-Beschleunigung für mehrere Server aktivieren möchten, die den sicheren Inhalt einer Website hosten. In diesem Modus reicht ein einzelnes digitales Zertifikat für die gesamte sichere Website aus, anstatt eines Zertifikats pro virtuellem Server. Infolgedessen ergeben sich erhebliche Kosteneinsparungen bei SSL-Zertifikaten und Verlängerungen. Der Wildcard-IP-Adressmodus ermöglicht auch eine zentrale Zertifikatsverwaltung.

Um die globale transparente SSL-Beschleunigung auf der NetScaler-Appliance zu konfigurieren, erstellen Sie einen virtuellen *:443-Server. Dieser virtuelle Server akzeptiert jede IP-Adresse, die mit Port 443 verknüpft ist. Binden Sie dann ein gültiges Zertifikat an diesen virtuellen Server und binden Sie auch alle Dienste, an die der virtuelle Server übertragen werden soll. Ein solcher virtueller Server kann das SSL-Protokoll für HTTP-basierte Daten oder das SSL_TCP-Protokoll für nicht HTTP-basierte Daten verwenden.

Konfigurieren der virtuellen serverbasierten Beschleunigung mit einer Platzhalter-IP-Adresse

  1. Aktivieren Sie SSL, wie unter SSL aktivierenbeschrieben.
  2. Aktivieren Sie den Lastenausgleich, wie unter Load Balancingbeschrieben.
  3. Fügen Sie einen SSL-basierten virtuellen Server hinzu und legen Sie den ClearTextPort-Parameter wie in SSL-Offload-Konfigurationbeschrieben fest.
  4. Fügen Sie ein Zertifikatschlüsselpaar hinzu, wie unter Ein Zertifikatschlüsselpaar hinzufügen oder aktualisierenbeschrieben.

Hinweis: Der Platzhalterserver lernt automatisch die auf der Appliance konfigurierten Server, sodass Sie keine Dienste für einen virtuellen Platzhalterserver konfigurieren müssen.

Beispiel:

Aktivieren Sie SSL-Offloading und Load Balancing. Erstellen Sie einen SSL-basierten virtuellen Wildcard-Server mit einer auf * festgelegten IP-Adresse und der Portnummer 443 und konfigurieren Sie seinen Klartext-Port (optional).

Wenn Sie den Klartext-Port angeben, werden entschlüsselte Daten an den Backend-Server auf diesem bestimmten Port gesendet. Andernfalls werden verschlüsselte Daten an Port 443 gesendet.

Erstellen Sie als Nächstes ein SSL-Zertifikatsschlüsselpaar, CertKey-1, und binden Sie es an den virtuellen SSL-Server.

Tabelle 2. Entitäten im Beispiel für virtuelle Serverbasierte Beschleunigung mit einer Wildcard-IP-Adresse

Entität Name IP-Adresse Port
SSL-basierter virtueller Server Vserver-SSL-Wildcard * 443
Zertifikat — Schlüsselpaar Certkey-1 - -

Transparenter Zugriff auf die IP-Adresse des virtuellen SSL-Servers mit Ende-zu-Ende-Verschlüsselung

Sie können einen virtuellen SSL-Server für transparenten Zugriff mit Ende-zu-Ende-Verschlüsselung verwenden, wenn Sie keinen Klartext-Port angegeben haben. In einer solchen Konfiguration wird die Appliance beendet und die gesamte SSL-Verarbeitung wird ausgelagert. Dann initiiert es eine sichere SSL-Sitzung und sendet die verschlüsselten Daten anstelle von Klartextdaten an die Webserver. Es sendet diese Daten an den Port, der auf dem virtuellen Wildcard-Server konfiguriert ist.

Hinweis: In diesem Fall wird die SSL-Beschleunigungsfunktion im Backend unter Verwendung der Standardkonfiguration ausgeführt, wobei alle 34 Verschlüsselungen verfügbar sind.

Um den transparenten SSL-VIP-Zugriff mit Ende-zu-Ende-Verschlüsselung zu konfigurieren, folgen Sie den Anweisungen zur Konfiguration einer virtuellen Serverbeschleunigung mit einer Wildcard-IP-Adresse (*:443). Konfigurieren Sie jedoch keinen Klartext-Port auf dem virtuellen Server.

Transparente SSL-Beschleunigung konfigurieren