ADC

Configurar aceleración SSL transparente

Nota: Según la implementación, es posible que deba habilitar el modo L2 en el dispositivo NetScaler.

La aceleración SSL transparente es útil para ejecutar varias aplicaciones en un servidor seguro con la misma IP pública. También es útil para la aceleración de SSL sin utilizar una IP pública adicional.

En una configuración de aceleración SSL transparente, el dispositivo NetScaler es transparente para el cliente. Es transparente porque la dirección IP en la que el dispositivo recibe las solicitudes es la misma que la dirección IP del servidor web.

El dispositivo NetScaler descarga el procesamiento del tráfico SSL del servidor web y envía tráfico cifrado o texto sin cifrar (según la configuración) al servidor web. El resto del tráfico es transparente para el dispositivo y está enlazado con el servidor web. Por lo tanto, las demás aplicaciones que se ejecutan en el servidor no se ven afectadas.

Hay tres modos de aceleración SSL transparente disponibles en el dispositivo:

  • Acceso transparente basado en servicios, donde el tipo de servicio puede ser SSL o SSL_TCP.
  • Acceso transparente basado en un servidor virtual con una dirección IP comodín (*:443).
  • Acceso transparente SSL basado en VIP con cifrado de extremo a extremo.

Nota: Se usa un servicio SSL_TCP para servicios que no son HTTPS (por ejemplo, SMTPS e IMAPS).

Aceleración SSL transparente basada en servicios

Para habilitar la aceleración SSL transparente mediante el modo de servicio SSL, configure un servicio SSL o SSL_TCP con la dirección IP del servidor web de fondo real. En lugar de que un servidor virtual intercepte el tráfico SSL y lo transmita al servicio, el tráfico ahora se transfiere directamente al servicio. El servicio descifra el tráfico SSL y envía datos de texto sin cifrar al servidor de fondo.

El modo basado en servicios permite configurar servicios individuales con un certificado diferente o con un puerto de texto no cifrado diferente. Además, también puede seleccionar servicios individuales para la aceleración SSL.

Puede aplicar la aceleración SSL transparente basada en servicios a los datos que utilizan diferentes protocolos. Para ello, defina el puerto de texto sin cifrar del servicio SSL en el puerto en el que se produce la transferencia de datos entre el servicio SSL y el servidor de fondo.

Para configurar la aceleración SSL transparente basada en servicios, primero habilite las funciones SSL y de equilibrio de carga. A continuación, cree un servicio basado en SSL y configure su puerto de texto sin cifrar. Una vez creado el servicio, cree y vincule un par de claves de certificado a este servicio.

Ejemplo:

Habilite la descarga de SSL y el equilibrio de carga.

Cree un servicio basado en SSL, Service-SSL-1, con la dirección IP 10.102.20.30 mediante el puerto 443 y configure su puerto de texto no cifrado.

A continuación, cree un par de claves de certificado, CertKey-1, y vincúlelo al servicio SSL.

Tabla 1. Entidades de la aceleración SSL transparente basada en servicios

Entidad Name Valor
Servicio SSL Service-SSL-1 102.20.30
Certificado - Par de claves Certkey-1 -

Aceleración basada en servidores virtuales con una dirección IP comodín (*:443)

Utilice un servidor virtual SSL en el modo de dirección IP comodín si desea habilitar la aceleración SSL para varios servidores que alojen el contenido seguro de un sitio web. En este modo, un certificado digital único es suficiente para todo el sitio web seguro, en lugar de un certificado por servidor virtual. Como resultado, se obtienen importantes ahorros de costes en los certificados SSL y en las renovaciones. El modo de dirección IP comodín también permite la administración centralizada de certificados.

Para configurar la aceleración SSL transparente global en el dispositivo NetScaler, cree un servidor virtual *:443. Este servidor virtual acepta cualquier dirección IP asociada al puerto 443. A continuación, vincule un certificado válido a este servidor virtual y, además, vincule todos los servicios a los que se va a transferir el servidor virtual. Dicho servidor virtual puede utilizar el protocolo SSL para datos basados en HTTP o el protocolo SSL_TCP para datos no basados en HTTP.

Configurar la aceleración basada en servidor virtual con una dirección IP comodín

  1. Habilitar SSL, como se describe en Habilitar SSL.
  2. Habilite el equilibrio de carga, como se describe en Equilibrio de cargas.
  3. Agregue un servidor virtual basado en SSL y establezca el parámetro ClearTextPort tal y como se describe en la configuración de descarga SSL.
  4. Agregue un par de claves de certificado, como se describe en Agregar o actualizar un par de claves de certificado.

Nota: El servidor comodín aprende automáticamente los servidores configurados en el dispositivo, por lo que no es necesario configurar servicios para un servidor virtual comodín.

Ejemplo:

Habilite la descarga de SSL y el equilibrio de carga. Cree un servidor virtual comodín basado en SSL con la dirección IP configurada en * y el número de puerto 443, y configure su puerto de texto no cifrado (opcional).

Si especifica el puerto de texto no cifrado, los datos descifrados se envían al servidor de fondo de ese puerto en particular. De lo contrario, los datos cifrados se envían al puerto 443.

A continuación, cree un par de claves de certificado SSL, CertKey-1, y vincúlelo al servidor virtual SSL.

Tabla 2. Ejemplo de aceleración basada en servidores virtuales con una dirección IP comodín

Entidad Name Dirección IP Puerto
Servidor virtual basado en SSL Vserver-SSL-Wildcard * 443
Certificado - Par de claves Certkey-1 - -

Acceso transparente basado en direcciones IP del servidor virtual SSL con cifrado de extremo a extremo

Puede utilizar un servidor virtual SSL para un acceso transparente con cifrado de extremo a extremo si no ha especificado ningún puerto de texto sin cifrar. En dicha configuración, el dispositivo finaliza y descarga todo el procesamiento SSL. A continuación, inicia una sesión SSL segura y envía los datos cifrados, en lugar de datos de texto sin cifrar, a los servidores web. Envía estos datos al puerto que está configurado en el servidor virtual comodín.

Nota: En este caso, la función de aceleración SSL se ejecuta en el back-end, con la configuración predeterminada, con los 34 cifrados disponibles.

Para configurar el acceso transparente basado en SSL VIP con cifrado de extremo a extremo, siga las instrucciones para configurar una aceleración basada en un servidor virtual con una dirección IP comodín (*:443). Sin embargo, no configure un puerto de texto sin cifrar en el servidor virtual.

Configurar aceleración SSL transparente