ADC

Tráfico seguro con equilibrio de carga mediante SSL

La función de descarga SSL de NetScaler mejora de forma transparente el rendimiento de los sitios web que realizan transacciones SSL. Al descargar las tareas de cifrado y descifrado SSL de uso intensivo de la CPU del servidor web local al dispositivo, la descarga SSL garantiza la entrega segura de las aplicaciones web sin la penalización de rendimiento que se produce cuando el servidor procesa los datos SSL. Una vez que se descifra el tráfico SSL, todos los servicios estándar pueden procesarlo. El protocolo SSL funciona a la perfección con varios tipos de datos HTTP y TCP y proporciona un canal seguro para las transacciones que utilizan dichos datos.

Para configurar SSL, primero debe habilitarlo. A continuación, configura los servicios HTTP o TCP y un servidor virtual SSL en el dispositivo y vincula los servicios al servidor virtual. También debe agregar un par de claves de certificado y vincularlo al servidor virtual SSL. Si utiliza servidores de Outlook Web Access, debe crear una acción para habilitar la compatibilidad con SSL y una directiva para aplicarla. Un servidor virtual SSL intercepta el tráfico cifrado entrante y lo descifra mediante un algoritmo negociado. A continuación, el servidor virtual SSL reenvía los datos descifrados a las demás entidades del dispositivo para su procesamiento adecuado.

Para obtener información detallada sobre la descarga SSL, consulte Descarga y aceleración de SSL.

Secuencia de tareas de configuración SSL

Para configurar SSL, primero debe habilitarlo. A continuación, debe crear un servidor virtual SSL y servicios HTTP o TCP en el dispositivo NetScaler. Por último, se debe enlazar un certificado SSL válido y los servicios configurados al servidor virtual SSL.

Un servidor virtual SSL intercepta el tráfico cifrado entrante y lo descifra mediante un algoritmo negociado. A continuación, el servidor virtual SSL reenvía los datos descifrados a las otras entidades del dispositivo NetScaler para su procesamiento adecuado.

El siguiente diagrama de flujo muestra la secuencia de tareas para configurar una configuración básica de descarga de SSL.

Figura 1. Secuencia de tareas para configurar la descarga de SSL

Diagrama de flujo SSL

Habilitar descarga SSL

En primer lugar, habilite la función SSL. Puede configurar entidades basadas en SSL en el dispositivo sin habilitar la función SSL, pero no funcionarán hasta que habilite SSL.

Habilitar SSL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para habilitar la descarga SSL y compruebe la configuración:

-  enable ns feature SSL
-  show ns feature
<!--NeedCopy-->

Ejemplo:

> enable ns feature ssl

Done


> show ns feature


Feature Acronym Status


------- ------- ------


1) Web Logging WL ON


2) SurgeProtection SP OFF


3) Load Balancing LB ON . . .


 9) SSL Offloading SSL ON


10) Global Server Load Balancing GSLB ON . .


Done >
<!--NeedCopy-->

Habilitar SSL mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. En el panel de navegación, expanda Sistemay, a continuación, haga clic en Configuración.
  2. En el panel de detalles, en Modos y funciones, haga clic en Cambiar funciones básicas.
  3. Active la casilla Descarga SSL y, a continuación, haga clic en Aceptar.
  4. ¿En la (s) función (s) activar/desactivar (s)? cuadro de mensaje, haga clic en .

Crear servicios HTTP

Un servicio del dispositivo representa una aplicación de un servidor. Una vez configurados, los servicios están inhabilitados hasta que el dispositivo puede llegar al servidor de la red y supervisar su estado. En este tema se describen los pasos para crear un servicio HTTP.

Nota: Para el tráfico TCP, realice los siguientes procedimientos, pero cree servicios TCP en lugar de servicios HTTP.

Agregar un servicio HTTP mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para agregar un servicio HTTP y compruebe la configuración:

-  add service <name> (<IP> | <serverName>) <serviceType> <port>
-  show service <name>
<!--NeedCopy-->

Ejemplo:

> add service SVC_HTTP1 10.102.29.18 HTTP 80


 Done


> show service SVC_HTTP1


        SVC_HTTP1 (10.102.29.18:80) - HTTP


        State: UP


        Last state change was at Wed Jul 15 06:13:05 2009


        Time since last state change: 0 days, 00:00:15.350


        Server Name: 10.102.29.18


        Server ID : 0   Monitor Threshold : 0


        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits


        Use Source IP: NO


        Client Keepalive(CKA): NO


        Access Down Service: NO


        TCP Buffering(TCPB): NO


        HTTP Compression(CMP): YES


        Idle timeout: Client: 180 sec   Server: 360 sec


        Client IP: DISABLED


        Cacheable: NO


        SC: OFF


        SP: OFF


        Down state flush: ENABLED





1)      Monitor Name: tcp-default


                State: UP       Weight: 1


                Probes: 4       Failed [Total: 0 Current: 0]


                Last response: Success - TCP syn+ack received.


                Response Time: N/A


 Done
<!--NeedCopy-->

Agregar un servicio HTTP mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > Descarga SSL > Servicios.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear servicio, escriba el nombre del servicio, la dirección IP y el puerto (por ejemplo, SVC_HTTP1, 10.102.29.18 y 80).
  4. En la lista Protocolo, seleccione el tipo de servicio (por ejemplo, HTTP).
  5. Haga clic en Creary, a continuación, en Cerrar. El servicio HTTP configurado aparece en la página Servicios.
  6. Compruebe que los parámetros configurados están correctamente configurados seleccionando el servicio y visualizando la sección Detalles en la parte inferior del panel.

Agregar un servidor virtual basado en SSL

En una configuración básica de descarga de SSL, el servidor virtual SSL intercepta el tráfico cifrado, lo descifra y envía los mensajes de texto sin cifrar a los servicios vinculados al servidor virtual. La descarga del procesamiento SSL de uso intensivo de la CPU en el dispositivo permite que los servidores back-end procesen un mayor número de solicitudes.

Agregar un servidor virtual basado en SSL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para crear un servidor virtual basado en SSL y compruebe la configuración:

-  add lb vserver <name> <serviceType> [<IPAddress> <port>]
-  show lb vserver <name>
<!--NeedCopy-->

Precaución: Para garantizar conexiones seguras, debe vincular un certificado SSL válido al servidor virtual basado en SSL antes de habilitarlo.

Ejemplo:

> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443
  Done


  > show lb vserver vserver-SSL-1


  vserver-SSL-1 (10.102.29.50:443) - SSL Type: ADDRESS


  State: DOWN[Certkey not bound] Last state change was at Tue Jun 16 06:33:08 2009 (+176 ms)


  Time since last state change: 0 days, 00:03:44.120


  Effective State: DOWN Client Idle Timeout: 180 sec


  Down state flush: ENABLED


  Disable Primary Vserver On Down : DISABLED


  No. of Bound Services : 0 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP


  Persistence: NONE


  Vserver IP and Port insertion: OFF


  Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule: Done
<!--NeedCopy-->

Agregar un servidor virtual basado en SSL mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > Descarga SSL > Servidores virtuales.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear servidor virtual (descarga SSL), escriba el nombre del servidor virtual, la dirección IP y el puerto.
  4. En la lista Protocolo, seleccione el tipo de servidor virtual, por ejemplo, SSL.
  5. Haga clic en Creary, a continuación, en Cerrar.
  6. Compruebe que los parámetros configurados están correctamente configurados seleccionando el servidor virtual y visualizando la sección Detalles en la parte inferior del panel. El servidor virtual está marcado como DOWN porque el par de claves de certificado y los servicios no se han vinculado a él.

Precaución: Para garantizar conexiones seguras, debe vincular un certificado SSL válido al servidor virtual basado en SSL antes de habilitarlo.

Enlazar servicios al servidor virtual SSL

Tras descifrar los datos entrantes, el servidor virtual SSL reenvía los datos a los servicios vinculados al servidor virtual.

La transferencia de datos entre el dispositivo y los servidores se puede cifrar o en texto sin cifrar. Si la transferencia de datos entre el dispositivo y los servidores está cifrada, toda la transacción estará segura de extremo a extremo. Para obtener más información sobre cómo configurar el sistema para la seguridad integral, consulte Descarga y aceleración SSL.

Enlazar un servicio a un servidor virtual mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar un servicio al servidor virtual SSL y compruebe la configuración:

-  bind lb vserver <name> <serviceName>
-  show lb vserver <name>
<!--NeedCopy-->

Ejemplo:

> bind lb vserver vserver-SSL-1 SVC_HTTP1




  Done


  > show lb vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) - SSL Type:


  ADDRESS State: DOWN[Certkey not bound]


  Last state change was at Tue Jun 16 06:33:08 2009 (+174 ms)


  Time since last state change: 0 days, 00:31:53.70


  Effective State: DOWN Client Idle


  Timeout: 180 sec


  Down state flush: ENABLED Disable Primary Vserver On Down :


  DISABLED No. of Bound Services : 1 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP and


  Port insertion: OFF Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule:





  1) SVC_HTTP1 (10.102.29.18: 80) - HTTP


  State: DOWN Weight: 1


  Done
<!--NeedCopy-->

Enlazar un servicio a un servidor virtual mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Descarga SSL > Servidores virtuales.
  2. En el panel de detalles, seleccione un servidor virtual y haga clic en Open.
  3. En la ficha Servicios, en la columna Activo, seleccione las casillas de verificación situadas junto a los servicios que quiere enlazar al servidor virtual seleccionado.
  4. Haga clic en Aceptar.
  5. Compruebe que el contador Número de servicios vinculados de la sección Detalles de la parte inferior del panel se incrementa en función del número de servicios vinculados al servidor virtual.

Agregar un par de claves de certificado

Un certificado SSL es un elemento integral del proceso de intercambio de claves SSL y de cifrado/descifrado. El certificado se utiliza durante un enlace SSL para establecer la identidad del servidor SSL. Puede utilizar un certificado SSL válido existente que tenga en el dispositivo NetScaler o puede crear su propio certificado SSL. El dispositivo admite certificados RSA de hasta 4096 bits.

Se admiten certificados ECDSA con las curvas siguientes:

  • prime256v1 (P_256 en el ADC)
  • secp384r1 (P_384 en el ADC)
  • secp521r1 (P_521 en el ADC; solo compatible con VPX)
  • secp224r1 (P_224 en el ADC; solo compatible con VPX)

Nota: Citrix recomienda utilizar un certificado SSL válido emitido por una entidad emisora de certificados de confianza. Los certificados no válidos y los certificados de creación propia no son compatibles con todos los clientes SSL.

Para poder usar un certificado para el procesamiento SSL, debes emparejarlo con su clave correspondiente. El par de claves de certificado se vincula al servidor virtual y se utiliza para el procesamiento SSL.

Agregar un par de claves de certificado mediante la CLI

Nota: Para obtener información sobre la creación de un par de claves de certificado ECDSA, consulte Crear un par de claves de certificado ECDSA.

En el símbolo del sistema, escriba los siguientes comandos para crear un par de claves de certificado y verificar la configuración:

-  add ssl certKey <certkeyName> -cert <string> [-key <string>]
-  show sslcertkey <name>
<!--NeedCopy-->

Ejemplo:

> add ssl certKey CertKey-SSL-1 -cert ns-root.cert -key ns-root.key

 Done


> show sslcertkey CertKey-SSL-1


   Name: CertKey-SSL-1 Status: Valid,


   Days to expiration:4811 Version: 3


   Serial Number: 00 Signature Algorithm: md5WithRSAEncryption Issuer: C=US,ST=California,L=San


   Jose,O=Citrix ANG,OU=NS Internal,CN=de fault


   Validity Not Before: Oct 6 06:52:07 2006 GMT Not After : Aug 17 21:26:47 2022 GMT


   Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault Public Key


   Algorithm: rsaEncryption Public Key


   size: 1024


 Done
<!--NeedCopy-->

Agregar un par de claves de certificado mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > SSL > Certificados.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Instalar certificado, en el cuadro de texto Nombre del par de claves de certificado, escriba un nombre para el par de claves de certificado que quiere agregar, por ejemplo, Certkey-SSL-1.
  4. En Detalles, en Nombre de archivo de certificado, haga clic en Examinar (dispositivo) para buscar el certificado. Tanto el certificado como la clave se almacenan en la carpeta /nsconfig/ssl/ del dispositivo. Para utilizar un certificado presente en el sistema local, seleccione Local.
  5. Seleccione el certificado que quiera usar y, a continuación, haga clic en Seleccionar.
  6. En Nombre de archivo de clave privada, haga clic en Examinar (dispositivo) para buscar el archivo de clave privada. Para utilizar una clave privada presente en el sistema local, seleccione Local.
  7. Selecciona la clave que quieres usar y haga clic en Seleccionar. Para cifrar la clave utilizada en el par de claves de certificado, escriba la contraseña que se utilizará para el cifrado en el cuadro de texto Contraseña.
  8. Haga clic en Instalar.
  9. Haga doble clic en el par de claves de certificado y, en la ventana Detalles del certificado, compruebe que los parámetros se han configurado correctamente y guardado.

Enlazar un par de claves de certificado SSL al servidor virtual

Después de emparejar un certificado SSL con su clave correspondiente, vincule el par de claves de certificado al servidor virtual SSL para que se pueda utilizar para el procesamiento SSL. Las sesiones seguras requieren establecer una conexión entre el equipo cliente y un servidor virtual basado en SSL del dispositivo. El procesamiento SSL se lleva a cabo en el tráfico entrante en el servidor virtual. Por lo tanto, antes de habilitar el servidor virtual SSL en el dispositivo, debe vincular un certificado SSL válido al servidor virtual SSL.

Enlazar un par de claves de certificado SSL a un servidor virtual mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar un par de claves de certificado SSL a un servidor virtual y compruebe la configuración:

-  bind ssl vserver <vServerName> -certkeyName <string>
-  show ssl vserver <name>
<!--NeedCopy-->

Ejemplo:

> bind ssl vserver Vserver-SSL-1 -certkeyName CertKey-SSL-1

Done


> show ssl vserver Vserver-SSL-1





     Advanced SSL configuration for VServer Vserver-SSL-1:


     DH: DISABLED


     Ephemeral RSA: ENABLED Refresh Count: 0


     Session Reuse: ENABLED Timeout: 120 seconds


     Cipher Redirect: ENABLED


     SSLv2 Redirect: ENABLED


     ClearText Port: 0


     Client Auth: DISABLED


     SSL Redirect: DISABLED


     Non FIPS Ciphers: DISABLED


     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED





1) CertKey Name: CertKey-SSL-1 Server Certificate


1) Cipher Name: DEFAULT


   Description: Predefined Cipher Alias


Done
<!--NeedCopy-->

Enlazar un par de claves de certificado SSL a un servidor virtual mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > Descarga SSL > Servidores virtuales.
  2. Seleccione el servidor virtual al que quiere enlazar el par de claves de certificado, por ejemplo, vServer-SSL-1 y haga clic en Abrir.
  3. En el cuadro de diálogo Configurar servidor virtual (descarga SSL), en la ficha Configuración SSL, en Disponible, seleccione el par de claves de certificado que quiere enlazar al servidor virtual. A continuación, haga clic en Agregar.
  4. Haga clic en Aceptar.
  5. Compruebe que el par de claves de certificado que ha seleccionado aparece en el área Configurado.

Configurar compatibilidad con el acceso web de Outlook

Si utiliza servidores Outlook Web Access (OWA) en el dispositivo NetScaler, debe configurar el dispositivo para que inserte un campo de encabezado especial, FRONT-END-HTTPS: ON, en las solicitudes HTTP dirigidas a los servidores OWA, de modo que los servidores generen vínculos URL https:// en lugar de http://.

Nota: Solo puede habilitar la compatibilidad de OWA para servidores y servicios virtuales SSL basados en HTTP. No se puede aplicar a los servidores y servicios virtuales SSL basados en TCP.

Para configurar la compatibilidad con OWA, haga lo siguiente:

  • Cree una acción SSL para habilitar la compatibilidad con OWA.
  • Cree una directiva SSL.
  • Enlace la directiva al servidor virtual SSL.

Crear una acción SSL para habilitar la compatibilidad con OWA

Para poder habilitar la compatibilidad con Outlook Web Access (OWA), debe crear una acción SSL. Las acciones SSL están vinculadas a directivas SSL y se activan cuando los datos entrantes coinciden con la regla especificada por la directiva.

Crear una acción SSL para habilitar el soporte de OWA mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para crear una acción SSL que permita la compatibilidad con OWA y compruebe la configuración:

-  add ssl action <name> -OWASupport ENABLED
-  show SSL action <name>
<!--NeedCopy-->

Ejemplo:

    > add ssl action Action-SSL-OWA -OWASupport enabled




    Done


    > show SSL action Action-SSL-OWA


    Name: Action-SSL-OWA


    Data Insertion Action: OWA


    Support: ENABLED


    Done
<!--NeedCopy-->

Crear una acción SSL para habilitar la compatibilidad con OWA mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > SSL > Directivas.
  2. En el panel de detalles, en la ficha Acciones, haga clic en Agregar.
  3. En el cuadro de diálogo Crear acción SSL, en el cuadro de texto Nombre, escriba Action-SSL-OWA.
  4. En Outlook Web Access, seleccione Habilitado.
  5. Haga clic en Creary, a continuación, en Cerrar.
  6. Compruebe que Action-SSL-OWA aparezca en la página Acciones SSL .

Crear directivas SSL

Las directivas SSL se crean mediante la infraestructura de directivas. Cada directiva SSL tiene vinculada una acción SSL y la acción se lleva a cabo cuando el tráfico entrante coincide con la regla que se ha configurado en la directiva.

Crear una directiva SSL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para configurar una directiva SSL y verifique la configuración:

-  add ssl policy <name> -rule <expression> -reqAction <string>
-  show ssl policy <name>
<!--NeedCopy-->

Ejemplo:

> add ssl policy-SSL-1 -rule ns_true -reqaction Action-SSL-OWA

Done

> show ssl policy-SSL-1

Name: Policy-SSL-1 Rule: ns_true

Action: Action-SSL-OWA Hits: 0

Policy is bound to following entities

1) PRIORITY : 0

Done
<!--NeedCopy-->

Crear una directiva SSL mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > SSL > Directivas.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear directiva SSL, en el cuadro de texto Nombre, escriba el nombre de la directiva SSL (por ejemplo, Policy-SSL-1).
  4. En Solicitar acción, seleccione la acción SSL configurada que quiere asociar a esta directiva (por ejemplo, Action-SSL-OWA). La expresión general ns_true aplica la directiva a todo el tráfico de enlace SSL correcto. Sin embargo, para filtrar respuestas específicas, puede crear directivas con un nivel más alto de detalle. Para obtener más información sobre la configuración de expresiones de directivas granulares, consulte Acciones y directivas SSL.
  5. En Expresiones con nombre, elija la expresión general integrada ns_true y haga clic en Agregar expresión. La expresión ns_true aparece ahora en el cuadro de texto Expresión.
  6. Haga clic en Creary, a continuación, en Cerrar.
  7. Compruebe que la directiva está configurada correctamente seleccionándola y visualizando la sección Detalles en la parte inferior del panel.

Enlazar la directiva SSL al servidor virtual SSL

Después de configurar una directiva SSL para Outlook Web Access, vincule la directiva a un servidor virtual que interceptará el tráfico entrante de Outlook. Si los datos entrantes coinciden con alguna de las reglas configuradas en la directiva SSL, la directiva se desencadena y se lleva a cabo la acción asociada a ella.

Enlazar una directiva SSL a un servidor virtual SSL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar una directiva SSL a un servidor virtual SSL y compruebe la configuración:

-  bind ssl vserver <vServerName> -policyName <string>
-  show ssl vserver <name>
<!--NeedCopy-->

Ejemplo:

> bind ssl vserver Vserver-SSL-1 -policyName Policy-SSL-1

 Done

> show ssl vserver Vserver-SSL-1

Advanced SSL configuration for VServer Vserver-SSL-1:

DH: DISABLED

Ephemeral RSA: ENABLED

Refresh Count: 0

Session Reuse: ENABLED

Timeout: 120 seconds

Cipher Redirect: ENABLED

SSLv2 Redirect: ENABLED

ClearText Port: 0

Client Auth: DISABLED

SSL Redirect: DISABLED

Non FIPS Ciphers: DISABLED

SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED

1) CertKey Name: CertKey-SSL-1 Server Certificate

1) Policy Name: Policy-SSL-1 Priority: 0

1) Cipher Name: DEFAULT Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

Enlazar una directiva SSL a un servidor virtual SSL mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > Descarga SSL > Servidores virtuales.
  2. En el panel de detalles, seleccione el servidor virtual (por ejemplo, vServer-SSL-1) y, a continuación, haga clic en Abrir.
  3. En el cuadro de diálogo Configurar servidor virtual (descarga SSL), haga clic en Insertar directivay, a continuación, seleccione la directiva que quiere enlazar al servidor virtual SSL. Si lo quiere, puede hacer doble clic en el campo Prioridad y escribir un nuevo nivel de prioridad.
  4. Haga clic en Aceptar.