Migrieren Sie die SSL-Konfiguration auf das erweiterte SSL-Profil
Hinweis:
Die Begriffe “Standard” und “erweitert” werden synonym für das erweiterte SSL-Profil verwendet.
In einer typischen Bereitstellung sind Hunderte von virtuellen Servern, Diensten und anderen SSL-Entitäten konfiguriert. Jede Entität kann ihre eigenen SSL-Einstellungen haben. Das Hinzufügen oder Ändern einer Einstellung für alle Entitäten kann ein umständlicher Prozess sein. Um diesem Bedarf gerecht zu werden und den Konfigurationsprozess zu vereinfachen, können Sie SSL-Profile verwenden und sie an verschiedene Entitäten anhängen.
Ein SSL-Profil ist eine Sammlung von SSL-Parametereinstellungen für SSL-Entitäten wie virtuelle Server, Dienste (einschließlich interner Dienste) und Dienstgruppen. Es bietet einfache Konfiguration und Flexibilität, da Sie nicht darauf beschränkt sind, nur einen Satz globaler Parameter zu konfigurieren. Es gibt zwei Arten von Profilen:
- Frontend-Profil: Gilt für die Entitäten, die Anfragen von einem Client erhalten.
- Back-End-Profil: Gilt für Entitäten, die Client-Anfragen an den Backend-Server senden.
Sie müssen das erweiterte Profil für alle SSL-Endpunkte aktivieren, um die Standardprofile zu erben. Das Standardprofil enthält auch einige neue Parameter, die nur über das Profil konfiguriert werden können. Geben Sie an der NetScaler-CLI Folgendes ein:
set ssl parameter -defaultProfile ENABLED
Sie können ein Profil nicht deaktivieren. Einige wichtige Punkte im Zusammenhang mit dem erweiterten Profil finden Sie unter Zu beachtende Punkte.
Problemstellung
Wenn Sie das Standardprofil aktivieren, wird das integrierte Standard-SSL-Profil automatisch an alle Front-End-SSL-Entitäten und das ns_default_ssl_profile_backend an alle Back-End-SSL-Entitäten gebunden. Das Profil enthält einige Standardeinstellungen. Wenn Sie das Standardprofil aktivieren, gehen Ihre benutzerdefinierten Einstellungen verloren. Das manuelle Reparieren einer großen Konfiguration kann mühsam, zeitaufwändig und fehleranfällig sein. Daher zögern Kunden, zum Standardprofil zu migrieren.
Lösung
Das NetScaler-Team hat ein Skript entwickelt, das Ihre Konfiguration analysiert und benutzerdefinierte Profile auf der Grundlage Ihrer vorhandenen Einstellungen erstellt. Das Skript überprüft die Konfiguration Ihrer SSL-Entitäten und erstellt Profile für dieselben Einstellungen. Dann bindet es das entsprechende Profil an jede SSL-Entität. Das Profil ist als ausführbare Datei verfügbar, die unter Linux-, Windows- und Mac-Betriebssystemen ausgeführt werden kann.
Das Skript ist verfügbar unter https://github.com/netscaler/default-ssl-profile-script#readme.
Wichtig
Speichern Sie die Konfiguration, bevor Sie das Tool verwenden. Geben Sie in der NetScaler-CLI Folgendes ein:
save config.
Ergebnis
Nachdem Sie das Skript ausgeführt haben, werden die benutzerdefinierten Profile mit den erforderlichen Einstellungen basierend auf Ihrer Konfiguration erstellt. Das entsprechende Profil ist an die verschiedenen Front-End- und Back-End-SSL-Entitäten gebunden. Ihre SSL-Entitäten haben jetzt dieselben Einstellungen wie vor der Aktivierung des Standardprofils. Der Unterschied besteht darin, dass diese Einstellungen jetzt Teil des SSL-Standardprofils sind. Um die Einstellungen für mehrere SSL-Entitäten zu ändern, müssen Sie nur das zugehörige Profil ändern. Die Einstellungen werden auf alle SSL-Entitäten angewendet, an die das Profil angehängt ist.