Configurer le déchargement SSL avec chiffrement de bout en bout
Une installation de déchargement SSL simple met fin au trafic SSL (HTTPS), déchiffre les enregistrements SSL et transfère le trafic en texte clair (HTTP) aux serveurs Web back-end. Le trafic de texte clair est susceptible d’être usurpé, lu, volé ou compromis par des personnes qui réussissent à accéder aux périphériques réseau back-end ou aux serveurs Web.
Vous pouvez donc configurer le déchargement SSL avec une sécurité de bout en bout en cryptant les données en texte clair et en utilisant des sessions SSL sécurisées pour communiquer avec les serveurs Web back-end.
Configurez les transactions SSL back-end de sorte que l’appliance utilise le multiplexage de session SSL pour réutiliser les sessions SSL existantes avec les serveurs Web back-end. Il aide à éviter les opérations d’échange de clés intensives en CPU et réduit également le nombre global de sessions SSL sur le serveur. Par conséquent, il accélère la transaction SSL tout en maintenant la sécurité de bout en bout.
Pour configurer un déploiement de chiffrement de bout en bout, effectuez les opérations suivantes :
- Créer des services SSL
- Créer un serveur virtuel SSL
- Ajouter une paire de clés de certificat
- Lier la paire de clés de certificat au serveur virtuel SSL
- Liez les services au serveur virtuel SSL
Pour plus d’informations sur l’ajout de services, de serveurs virtuels et de paires de clés de certificat, consultez Configuration du déchargement SSL.
Les exemples de valeurs utilisées dans la configuration sont répertoriés dans le tableau
Entité | Nom | Adresse IP | Port |
---|---|---|---|
Service SSL | service-ssl-1 | 198.51.100.5 | 443 |
Service SSL | service-ssl-2 | 198.51.100.10 | 443 |
Serveur virtuel SSL | vserver-ssl |
203.0.113.5 | 443 |
Paire de clés de certificat SSL | certkey-1 | SO | SO |
Exemple :
add service service-ssl-1 198.51.100.5 SSL 443
add service service-ssl-2 198.51.100.10 SSL 443
add lb vserver vserver-ssl SSL 203.0.113.5 443
add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky
bind ssl vserver vserver-ssl -certkeyName certkey-1
bind lb vserver vserver-ssl service-ssl-1
bind lb vserver vserver-ssl service-ssl-2
<!--NeedCopy-->
Configurer le déchargement SSL avec le chiffrement de bout en bout à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Services > Ajouter.
- Ajoutez deux services :
service-ssl-1
etservice-ssl-2
. - Accédez à Gestion du trafic > SSL > Certificats > Installer.
- Ajouter une paire de clés de certificat-clé :
certkey-1
. - Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels > Ajouter.
- Ajouter un serveur virtuel :
vserver-ssl
. - Cliquez sur OK.
- Cliquez dans Liaison de service Serveur virtuel d’équilibragede charge.
- Dans Sélectionner un service, cliquez sur la flèche.
- Dans la boîte de dialogue Service, sélectionnez
service-ssl-1
etservice-ssl-2
. - Cliquez sur Sélectionner.
- Cliquez sur Bind.
- Cliquez sur Continuer.
- Dans la section Certificat, cliquez sur Certificat du serveur.
- Dans Sélectionner un certificat de serveur, cliquez sur la flèche.
- Dans la boîte de dialogue Certificats de serveur, cliquez sur
certkey-1
. - Cliquez sur Sélectionner.
- Cliquez sur Bind.
- Cliquez sur Continuer.
- Cliquez sur Terminé.