Migrieren Sie die SSL-Konfiguration auf das erweiterte SSL-Profil
Hinweis:
Die Begriffe “Standard” und “erweitert” werden synonym für das erweiterte SSL-Profil verwendet.
In einer typischen Bereitstellung sind Hunderte von virtuellen Servern, Diensten und anderen SSL-Entitäten konfiguriert. Jede Entität kann ihre eigenen SSL-Einstellungen haben. Das Hinzufügen oder Ändern einer Einstellung für alle Entitäten kann ein umständlicher Prozess sein. Um diesem Bedarf gerecht zu werden und den Konfigurationsprozess zu vereinfachen, können Sie SSL-Profile verwenden und sie an verschiedene Entitäten anhängen.
Ein SSL-Profil ist eine Sammlung von SSL-Parametereinstellungen für SSL-Entitäten wie virtuelle Server, Dienste (einschließlich interner Dienste) und Dienstgruppen. Es bietet einfache Konfiguration und Flexibilität, da Sie nicht darauf beschränkt sind, nur einen Satz globaler Parameter zu konfigurieren. Es gibt zwei Arten von Profilen:
- Frontend-Profil: Gilt für die Entitäten, die Anfragen von einem Client erhalten.
- Back-End-Profil: Gilt für Entitäten, die Client-Anfragen an den Backend-Server senden.
Problemstellung
Wenn Sie das Standardprofil aktivieren, werden die integrierten Standard-SSL-Profile automatisch an alle Front-End- und Back-End-SSL-Entitäten gebunden. Das Profil enthält einige Standardeinstellungen. Wenn Sie das Standardprofil aktivieren, gehen Ihre benutzerdefinierten Einstellungen verloren. Das manuelle Reparieren einer großen Konfiguration kann mühsam, zeitaufwändig und fehleranfällig sein. Daher zögern Kunden, zum Standardprofil zu migrieren.
Lösung
Ab Version 14.1 Build 21.x können Sie über die NetScaler-GUI ein Skript ausführen, das Ihre Konfiguration analysiert und benutzerdefinierte Profile auf der Grundlage Ihrer vorhandenen Einstellungen erstellt. Das Skript überprüft die Konfiguration Ihrer SSL-Entitäten und erstellt Profile für dieselben Einstellungen. Anschließend wird das entsprechende Profil für jede SSL-Entität festgelegt.
Führen Sie die folgenden Schritte aus, um die SSL-Konfiguration zu migrieren:
- Speichern Sie die Konfiguration.
- Führen Sie das Skript aus.
- Überprüfen Sie die Ausgabedatei.
- Aktivieren Sie das Standardprofil.
- Stapeln Sie die Datei.
Wichtig
Speichern Sie die Konfiguration, bevor Sie das Skript ausführen. Geben Sie in der NetScaler-CLI Folgendes ein:
save config
. Stellen Sie außerdem sicher, dass das Standardprofil aktiviert ist, bevor Sie die Datei stapeln. Bei einer großen Konfiguration kann die Ausführung des Skripts bis zu 30 Minuten dauern.
So migrieren Sie die SSL-Konfiguration mit der NetScaler-GUI
- Navigieren Sie zu System > Diagnose. Klicken Sie unter Wartung auf Konfiguration speichern.
- Navigieren Sie zu Traffic Management > SSL > Tools > SSL Profile Converter.
- Klicken Sie auf SSL-Profilkonvertierung ausführen.
- Klicken Sie auf Datei anzeigen, um die Ausgabedatei zu überprüfen. Klicken Sie auf Datei herunterladen, um die Ausgabedatei herunterzuladen und offline zu überprüfen.
- Gehen Sie zurück zur SSL-Seite. Klicken Sie unter Einstellungen auf Erweiterte SSL-Einstellungen ändern.
- Wählen Sie auf der Seite Erweiterte SSL-Einstellungen ändern die Option Standardprofil aktivieren aus.
- Navigieren Sie zu System > Diagnose. Klicken Sie unter Dienstprogramme auf Batch-Konfiguration.
- Geben Sie den Dateipfad an und klicken Sie auf Ausführen.
Ergebnis
Wenn Sie dieses Skript ausführen, scannt es die vorhandene NetScaler-Konfigurationsdatei.
Speicherort der Ausgabedatei, wenn Admin-Partitionen verwendet werden und das Skript über CLI ausgeführt wird: /nsconfig/partitions/<partition_name>/sslprofile_cmds.txt
.
Speicherort der Ausgabedatei, wenn Sie die Standardpartition verwenden und das Skript über CLI oder GUI ausführen: /nsconfig/sslprofile_cmds.txt
.
Diese Datei enthält alle erweiterten SSL-Profilbefehle, die der vorhandenen Konfiguration entsprechen. Sie müssen die Datei überprüfen und dann stapeln.
Die benutzerdefinierten Profile werden mit den erforderlichen Einstellungen basierend auf Ihrer Konfiguration erstellt. Das entsprechende Profil ist an die verschiedenen Front-End- und Back-End-SSL-Entitäten gebunden.
Ihre SSL-Entitäten haben jetzt dieselben Einstellungen wie vor der Aktivierung des Standardprofils. Der Unterschied besteht darin, dass diese Einstellungen jetzt Teil des SSL-Standardprofils sind. Um die Einstellungen für mehrere SSL-Entitäten zu ändern, müssen Sie nur das zugehörige Profil ändern. Die Einstellungen werden auf alle SSL-Entitäten angewendet, an die das Profil angehängt ist.
So migrieren Sie die SSL-Konfiguration mit der NetScaler CLI
Sie können das Skript auch über die CLI ausführen. Geben Sie in der Befehlszeile Folgendes ein:
save config
convert SSL defaultprofile
<!--NeedCopy-->
Die Ausgabeordner werden im Abschnitt Ergebnisse angegeben. Sie müssen die Datei überprüfen, das Standardprofil aktivieren und dann die Datei stapeln.