Configure la acción SSL para reenviar el tráfico del cliente si el ADC no admite un cifrado
En el mensaje de saludo del cliente, si recibe un cifrado que no es compatible con el ADC, puede configurar una acción SSL para reenviar el tráfico del cliente a un servidor virtual diferente. Si no desea la descarga SSL, configure este servidor virtual de tipo TCP o SSL_BRIDGE. No hay descarga de SSL en el ADC y ese tráfico se omite. Para la descarga SSL, configure un servidor virtual SSL como servidor virtual de reenvío.
Siga estos pasos:
- Agregue un servidor virtual de equilibrio de carga de tipo SSL. El tráfico del cliente se recibe en este servidor virtual.
- Enlaza un servicio SSL a este servidor virtual.
- Agregue un servidor virtual de equilibrio de carga de tipo TCP. Nota: La dirección IP o el número de puerto no son obligatorios para el servidor virtual al que se reenvía el tráfico.
- Agregue un servicio TCP con el puerto 443.
- Enlace este servicio al servidor virtual TCP creado anteriormente.
- Agregue una acción SSL que especifique el servidor virtual TCP en el parámetro “reenviar”.
- Agregue una directiva SSL que especifique la acción anterior si el conjunto de cifrado específico (identificado por su código hexadecimal) se recibe en el mensaje de saludo del cliente.
- Enlace esta directiva al servidor virtual SSL.
- Guarde la configuración.
Configuración mediante la CLI
add service ssl-service 10.102.113.155 SSL 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
add lb vserver v2 TCP
add service tcp-service 10.102.113.150 TCP 443
bind lb vserver v2 tcp-service
add ssl action act1 -forward v2
add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
<!--NeedCopy-->
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: ENABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: sv Server Certificate
Data policy
1) Policy Name: pol2 Priority: 1
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done
sh ssl policy pol2
Name: pol2
Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f)
Action: act1
UndefAction: Use Global
Hits: 0
Undef Hits: 0
Policy is bound to following entities
1) Bound to: CLIENTHELLO_REQ VSERVER v1
Priority: 1
Done
<!--NeedCopy-->
sh ssl action act1
1) Name: act1
Type: Data Insertion
Forward to: v2
Hits: 0
Undef Hits: 0
Action Reference Count: 1
Done
<!--NeedCopy-->
sh ssl vserver v2
Advanced SSL configuration for VServer v2:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: sv Server Certificate
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
<!--NeedCopy-->
Configuración mediante la GUI
Cree un servidor virtual TCP:
- Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales .
- Cree un servidor virtual TCP.
- Haga clic en la sección Servicios y grupos de servicios y agregue un servicio TCP o vincule un servicio existente.
- Haga clic en Bind.
- Haga clic en Continuar.
Cree un servidor virtual SSL:
- Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales .
- Cree otro servidor virtual SSL.
- Haga clic en la sección Servicios y grupos de servicios y agregue un nuevo servicio SSL o vincule un servicio existente.
- Haga clic en Bind.
- Haga clic en Continuar.
- Haga clic en la sección Certificado y vincule un certificado de servidor.
- Haga clic en Continuar.
- En Configuración avanzada, haz clic en Directivas SSL.
- Haga clic en la sección Directiva SSL para agregar o seleccionar una directiva existente.
- En Vinculación de directivas, haga clic en Agregar y especifique un nombre para la directiva.
- En Acción, haga clic en Agregar.
- Especifique un nombre para la acción SSL. En Forward Action Virtual Server, seleccione el servidor virtual TCP creado anteriormente.
- Haga clic en Crear.
- Especifique CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (código hexadecimal del cifrado no compatible) en la expresión.
- Haga clic en Listo.
- En la directiva, configure una expresión para evaluar el tráfico del cifrado no compatible.
- Enlace la acción a la directiva y la directiva al servidor virtual SSL. Especifique el punto de enlace CLIENTHELLO_REQ.
- Haga clic en Listo.